Tja, das ist eine gute Frage. Das Problem ist halt, dass solche Sicherheitsmechanismen, falls sie sich wie Martin vermutet serverseitig auch mal übergehen lassen, natürlich an Wirksamkeit einbüßen.
Wenn z.B. ein Verschlüsselungs-Zertifikat abläuft, ist seine Sicherheit per Definition nicht mehr gewährleistet (darum wurde das Ablaufdatum ja gesetzt). Falls man nicht VOR Ablauf des Zertifikats über den sicheren Kanal ein neues Zertifikat aufspielt, gibt es streng genommen keinen sicheren Kanal mehr, über den gewährleistet ist, dass auch ein ECHTES neues Zertifikat aufgespielt wird und keins, dass einem ein Hacker untergeschoben hat.
Kann man ja dann nicht mehr prüfen, da die Signaturprüfung über ein altes Zertifikat, dass vom System bereits als abgelaufen/unsicher markiert wurde, stattfinden müsste. Streng genommen hat man dann verloren und darum darf das halt nicht passieren.
.