Si el certificado ha caducado (por ejemplo, después de dos años), esto significa que un atacante potencial tenía al menos dos años de tiempo disponible para la fuerza bruta o para atacar la clave. De acuerdo, esto significa más riesgo que cuando el certificado tiene solo unos meses, pero con buenas claves todavía no debería haber prácticamente ningún aumento repentino de riesgo en el momento de su vencimiento. Sin embargo, este aspecto no debe ser descartado. (Además, los certificados antiguos pueden haber sido producidos en los viejos tiempos de firmas menos seguras)
Pero lo que es más importante, cuando una clave que aún está activa se ve comprometida, este hecho puede publicarse mediante revocación (por ejemplo, CRL o OSCP). Si una clave se compromete después de su vencimiento, esto no se hace (simplemente porque sería un desperdicio de recursos rastrear esos casos cuando los certificados no son válidos al vencimiento).
De hecho, puede darse el caso de que el propietario sí haya renovado el certificado, pero lo que está viendo es un sitio falso creado por un MITM.
Entonces, sí, debería estar lo suficientemente preocupado (y preocupado como si fuera un sitio de importancia, como un sitio bancario o una tienda) y tal vez informar al propietario.