warn_cert_msg
warn_cert_msg(uri, cert, res > 0 ? "has expired" : "not yet valid");
warn_cert_msg(uri, cert, "is not a CA cert");
