<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace"><br></div></div><div dir="ltr"><div dir="ltr"><div dir="auto">On Sat, Aug 21, 2021, 10:57 PM Ray Dillinger <<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>> wrote:<div dir="auto"><br></div><div dir="auto">> <span style="font-family:sans-serif;font-size:12.8px"> Renewing an expired cert is mainly an afterthought now, even for "serious" businesses.  If revocation were a real thing that could matter to anyone, an expired or revoked cert should and would literally and absolutely shut your entire website down.  If it happened to a "serious" company it would be a six-alarm emergency that costs people careers.</span><br></div><div dir="auto"><br></div><div dir="auto"><div style="font-family:monospace,monospace" class="gmail_default">That's not quite 100% accurate. A big exception is X.509 certs used with TLS connections over HTTP for web services. Those are generally called either machine-to-machine or via AJAX or directly via a native mobile app, and therefore out of reach of the casual user being able to accept the expired certificate. And an expired certificate in those cases on the server will break the intended use case as the https connection will fail. That's just how most of the HttpClient software libraries work in those cases. <br><br>-kevin</div></div><div dir="auto"><div style="font-family:monospace,monospace" class="gmail_default"><span class="gmail_default" style="font-family:monospace,monospace"></span>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Blog: <a href="https://off-the-wall-security.blogspot.com/" target="_blank">https://off-the-wall-security.blogspot.com/</a>    | Twitter: @KevinWWall | OWASP ESAPI Project co-lead<br>NSA: All your crypto bit are belong to us.</div></div></div></div><br><span class="gmail_default" style="font-family:monospace,monospace"></span></div></div></div>
</div>
</div>