Não é muito difícil verificar as datas de expiração do script.
Para domínios, você pode facilmente interagir com a linha de comando whois, mas uma biblioteca whois para uma linguagem de programação provavelmente tornará isso um pouco mais fácil devido à diferença em que os registradores da região retornam.
Para certficates, o openssl cli pode ser usado com seus modos s_client e x509 para recuperar e decodificar um certificado, assim você pode fazer isso no shell se não quiser usar uma linguagem de programação apropriada com ligações OpenSSL.
Sempre que você configurar um novo domínio ou site SSL, adicione-o à lista que esses scripts verificam. Em seguida, execute-a semanalmente / mensalmente, conforme necessário, e envie alertas para um e-mail atual quando descobrir que algo vai expirar no próximo trimestre.
Agora, se seus domínios estiverem bloqueados no registrador para o endereço de e-mail que você não controla mais, você tem outro problema, mas pelo menos ele tem um aviso prévio em vez de um que você precisa resolver depois que o domínio expirou sem você perceber.