Para um certificado que não expirou, o emissor desse certificado é responsável por a chamada "lista de revogação". Se um certificado for comprometido, o emissor pode revogá-lo adicionando-o à lista de revogação e esse certificado deixará de ser considerado fidedigno para o seu navegador. Não é obrigatório manter o estado de revogação para certificados expirados, por isso, embora este certificado já tenha sido válido para o Web site que está a visitar, neste momento, não é possível determinar se o certificado foi comprometido e posteriormente revogado ou se continua a ser seguro. Como tal, é impossível saber se está a comunicar com o Web site legítimo ou se o certificado foi comprometido e está agora na posse de um utilizador mal intencionado com quem está em comunicação.
