Dans le cas d'un certificat encore valide, l'émetteur est responsable de la gestion de ce que l'on appelle une "liste de révocation". Si un certificat est compromis, l'émetteur peut le révoquer en l'ajoutant à la liste de révocation. Dans ce cas, il ne sera plus approuvé par votre navigateur. L'état de révocation ne doit pas nécessairement être géré pour les certificats qui sont arrivés à expiration. Dès lors, même si le certificat a été valide pour le site Web que vous consultez, il n'est pas possible de déterminer à ce stade s'il a été compromis et par la suite révoqué, ou s'il est encore sécurisé. Il est donc impossible de savoir si vous êtes connecté au site Web légitime, ou si le certificat a été compromis, et s'il est actuellement entre les mains d'un pirate informatique avec lequel vous communiquez.
