Como vc mencionou o ícone do cadeado, acredito que esteja falando do certificado SSL dos sites, e do cadeado que o browser mostra.

Neste caso, quando um certificado está expirado, o browser dá esse aviso e não encripta mais a conexão. Provavelmente vai aparecer alguma mensagem do tipo "Your connection is not private" ou algo assim.

A ideia é que algoritmos de criptografia evoluem ao longo do tempo. Mas junto com eles, os ataques evoluem também. Algoritmos que antes eram considerados seguros passam a não ser, então a expiração é uma forma de "forçar" todos a se atualizarem - os novos certificados idealmente são emitidos usando algoritmos mais novos e/ou chaves maiores, usando as recomendações de segurança atuais.

Tecnicamente, vc até poderia fazer um programa que usa o certificado expirado e não verifica a data de expiração, mas isso seria considerado uma falha grave de segurança. Os browsers (e qualquer software sério) verificam a data e mostram o aviso.