Quando visualizzo l'avviso sul mio browser relativo a "Certificato non valido" o "Certificato non attendibile", potrei avere dubbi su un attacco MITM sulla mia rete. Dovrei avere la stessa preoccupazione quando vedo che il certificato è scaduto avviso? Come so, succede solo quando il server non ha rinnovato il suo certificato e mostra solo che il server potrebbe utilizzare vecchi standard di sicurezza. Dovrei preoccuparmi di qualcosa di diverso da questo?
Se il certificato è scaduto (diciamo, dopo due anni), ciò significa che un potenziale aggressore ha avuto almeno due anni di tempo per la forza bruta o comunque per attaccare la chiave. OK, questo significa più rischi rispetto a quando il certificato ha solo pochi mesi, ma con buone chiavi non dovrebbe esserci praticamente alcun aumento improvviso del rischio al momento della scadenza. Tuttavia, questo aspetto non dovrebbe essere scartato. (Inoltre, i vecchi certs potrebbero essere stati prodotti nei bei vecchi tempi di firme meno sicure)
Ma ancora più importante, quando una chiave che è ancora attiva è compromessa, questo fatto può essere pubblicizzato dalla revoca (ad es., CRL o OSCP). Se una chiave viene compromessa dopo la sua scadenza, ciò non viene fatto (semplicemente perché sarebbe uno spreco di risorse per rintracciare quei casi quando i certificati non sono comunque validi per scadenza).
In effetti, è possibile che il proprietario abbia rinnovato il certificato, ma quello che stai guardando è un sito falso creato da un MITM.
Quindi, sì, dovresti essere sufficientemente preoccupato (e preoccupato da morire se questo è un sito di importanza come un sito bancario o un negozio) e magari informare il proprietario.
Per lo più si tratta di un problema di fiducia.
Se il client si fida di certificati non validi o scaduti e vi è abituato, cosa gli fa distinguere tra un certificato valido scaduto / non valido da altro maligno? Probabilmente farà clic senza leggere si a tutte le domande ...
Inoltre, se non stai seguendo le regole / standard perché implementarle? Per mantenere il traffico sicuro? Ma perché i tuoi clienti dovrebbero fidarsi che sono al sicuro se non ti interessa con gli standard?
Leggi altre domande sui tag openssl tls certificates expiration-date