技术原因是控制 CRL的大小：CRL 列出已撤销证书的序列号，但仅适用于否则仍然有效的证书，尤其是未过期的证书。如果没有有效期结束，被撤销的证书将无限期地累积，随着时间的推移导致巨大的 CRL。

但是，由于网络带宽不断增加，并且由于现代吊销使用不受这种膨胀影响的OCSP ，因此该技术原因并不是证书过期的主要驱动力。实际上，证书过期的原因如下：

• 惯性：我们设置到期日期，因为我们总是设置到期日期。信息安全中的传统往往导致教条：当涉及到安全时，人们在改变长期习惯时会感到非常受抑制，尤其是当他们不明白为什么这个习惯会长期存在时。

• 不信任：理想情况下，当技术进步使得他们的密钥变得不够弱时，证书所有者应该寻求更新（例如，他们有 768 位 RSA，因为它在 1996 年还不错）。但他们没有。到期日期强制在可预测的时刻进行续订，从而实现渐进、主动的演变。

• 困惑：到期日期可以被视为对早期军事密码系统的内务管理实践的翻译，在计算机出现之前，需要频繁更新密钥以应对此类系统的弱点。有些人认为证书过期以某种方式实现了这种做法（这是过时的，但是嘿，传统就是传统）。

• 互操作性： X.509 的现有部署实现期望证书具有到期日期；该字段不是可选的。此外，其中一些实施将拒绝 2038 年 1 月之后的日期（即2038 年问题）。

• 贪婪：如果您是销售证书业务的 CA，那么您真的很喜欢人们必须每年都来购买新证书。

尽管证书具有有限的有效期，但它可以随时被撤销。撤销行为将该证书的序列号放入证书撤销列表 (CRL)。每个证书都将包含一个指向该证书颁发者已发布最新 CRL 的位置的链接。这意味着，如果不再需要证书或证书被泄露，该证书的持有者或主体可以请求撤销该证书。在验证证书链期间，检查所有证书以查看它们是否已被吊销。如果证书出现在列表中，则它不能被信任。

出于多种原因，证书具有有效期。首先，密钥长度。设置有效期是为了使证书的密钥长度在该证书的有效期内不会“理论上”被破坏。此外，密钥应该重新生成，而不是重新发布。这可以通过使用私钥使用 X.509 扩展来强制执行。

其次，在证书链中，最受信任的证书将具有最长的密钥长度。查看根证书，您会发现这些证书通常至少有 4096 位 RSA 密钥。证书的有效期也会更长。对于根证书，它将在 10 到 20 年之间。这在很大程度上取决于 PKI 的层次结构。PKI 层次结构通常是 2 或 3 层。例如 RootCA->PolicyCA->IssuanceCA 或 RootCA->IssuanceCA。CA 的私钥只能用于证书有效期的一半。如果我们采用 3 层层次结构，证书的有效期将类似于：

根 CA（20 年）-> 策略 CA（10 年）-> 颁发 CA（5 年）-> 最终实体（最长 2 年）。

CA 的私钥使用期限为：

根 CA（10 年）-> 策略 CA（5 年）-> 颁发 CA（最长 2 年）。

这样做的原因是，根 CA 下颁发的任何证书都不会因为它的父证书变得无效而变得无效。在上面的示例中，策略 CA 的第二个证书将在根 CA 的第二个密钥下颁发，即使第一个证书是根 CA 的仍然有效。根 CA的第二个证书将在 10 年后颁发，就在策略 CA 的第二个证书之前。

它限制了窃贼使用被盗证书的时间。证书撤销列表存在，但它们仅在证书所有者（或颁发者）实际注意到并采取行动撤销证书时才起作用。

虽然我不确定您的问题是否仅与 HTTPS 协议使用的证书有关，或者更一般地说，在非 Web 用途中，到期时间会起作用。

例如，我遇到过在内部使用证书作为临时身份验证方法的系统，有点像会话令牌，其中颁发 CA 没有它颁发的证书的记录，因此无法撤销它们。

唯一简单的缓解措施是大幅减少有效期，因为新证书不断发行，所以没有理由长期这样做。