Per un certificato non scaduto, l'autorità di certificazione è responsabile del mantenimento di un cosiddetto "elenco di revoche". Se un certificato venisse compromesso, l'autorità di certificazione potrebbe revocarlo aggiungendolo all'elenco di revoche, dopodiché il certificato non sarebbe più considerato attendibile dal tuo browser. Non è necessario mantenere lo stato di revoca per i certificati scaduti quindi, anche se il certificato era valido per il sito web visitato, a questo punto non è possibile stabilire se il certificato è stato compromesso e successivamente revocato oppure se rimane sicuro. Di conseguenza è impossibile stabilire se stai comunicando con il sito web legittimo o se il certificato è stato compromesso ed è ora nelle mani di un malintenzionato con cui stai comunicando.
