Se il certificato è scaduto (diciamo, dopo due anni), ciò significa che un potenziale aggressore ha avuto almeno due anni di tempo per la forza bruta o comunque per attaccare la chiave. OK, questo significa più rischi rispetto a quando il certificato ha solo pochi mesi, ma con buone chiavi non dovrebbe esserci praticamente alcun aumento improvviso del rischio al momento della scadenza. Tuttavia, questo aspetto non dovrebbe essere scartato. (Inoltre, i vecchi certs potrebbero essere stati prodotti nei bei vecchi tempi di firme meno sicure)
Ma ancora più importante, quando una chiave che è ancora attiva è compromessa, questo fatto può essere pubblicizzato dalla revoca (ad es., CRL o OSCP). Se una chiave viene compromessa dopo la sua scadenza, ciò non viene fatto (semplicemente perché sarebbe uno spreco di risorse per rintracciare quei casi quando i certificati non sono comunque validi per scadenza).
In effetti, è possibile che il proprietario abbia rinnovato il certificato, ma quello che stai guardando è un sito falso creato da un MITM.
Quindi, sì, dovresti essere sufficientemente preoccupato (e preoccupato da morire se questo è un sito di importanza come un sito bancario o un negozio) e magari informare il proprietario.