Prima di Java 5 SE, jar firmato il cui certificato di firma era scaduto non sarebbe più valido o utilizzabile.
Con Java 5 SE e versioni successive, jar firmati il cui certificato di firma scade continueranno a funzionare. Il certificato scaduto, tuttavia, non può essere utilizzato per firmare altri barattoli.
From Oracle's docs:
Prima della J2SE 5.0, la firma generato da jarsigner contenevano alcuna informazione circa w uando la firma è stata generata. Senza altre informazioni disponibili, i sistemi/i deployer (inclusi gli utenti del plug-in Java) hanno spesso basato la valutazione di validità di un file JAR firmato sulla validità del certificato di firma. Alla scadenza del certificato di firma, i sistemi/i deployer concludono che la firma e, di conseguenza, il file JAR, è scaduta. Poiché i certificati di firma scadono di norma ogni anno, ciò ha causato problemi significativi ai clienti costringendoli a firmare nuovamente i file JAR distribuiti ogni anno.
A partire da J2SE 5.0, jarsigner può generare firme che includono un timestamp, consentendo in tal modo ai sistemi/deployer (incluso il plug-in Java) di verificare se il file JAR è stato firmato mentre il certificato di firma era ancora valido. Inoltre, in J2SE 5.0 sono state aggiunte API per consentire alle applicazioni di ottenere le informazioni relative all'orario.
questo è principalmente un caso di "provalo a scoprirlo": crea un barattolo con un certificato che ha una scadenza esplicita impostata su un minuto da ora, compila, attendi un minuto ed esegui la tua applicazione. Quindi guarda cosa fa. –