证书过期的官方原因是吊销。当证书的颁发者断言证书内容不再受信任时，证书被“撤销”，出于某种不需要我指定的原因。这就像来自 CA 的“取消”：CA 签署了证书，但现在后悔了。

撤销的一个常见原因是私钥被怀疑被盗（例如智能卡丢失，因此它可能落入坏人之手）。

吊销通过在 CA 定期发布的证书吊销列表中添加证书序列号来工作。这些 CRL 是经过签名的（通常由 CA 签署），并且使用证书（例如 Web 浏览器，用于 SSL 服务器证书）的人应该自动下载最新的 CRL，以查看他们将要使用的证书是否已被吊销。

如果没有到期日期，CRL 将无限增长，并且变得过于庞大而无法使用。随着过期，过期的证书将从 CRL 中删除；从这个意义上说，证书吊销的行为就像是加速到期。所以你有它：证书过期以保持 CRL 小。

（如果证书的寿命很短，并且每周甚至每天更新一次，那么我们可以完全不支持撤销，这很酷，但这需要某种自动更新，它有自己的一套潜在问题。）

CRL 大小是理论上的原因。实际原因是，当客户每年都必须购买续订时，商业 CA 真的很喜欢它。

也可以对密钥大小和算法进行争论。证书更新是执行新算法或比以前更大的密钥的好机会。对于密码分析的进步，当旧证书的密钥大小变得“太小而不能舒适”时，这是一种比必须撤销旧证书更顺畅的机制。

数字证书用于在线验证身份和从属关系。人们换工作，学生毕业，企业倒闭或改变所有权，私钥泄露，以及任何其他可能导致特定证书不再是验证身份的准确方式的事情。证书过期，因此使用它们的人可以确保其中的信息至少是最新的。

同理，你的驾照过期了。上次更新时，您可能已经存在，使用那个名字、那个地址、那个出生日期、那个外表，（并且您可能已经能够开车 ;-)）但不能合理地期望这种状态永远保持不变。所以它有一个更新。同样适用于数字证书。它标识了一个存在的实体，有一个特定的名称，有一个 CA 链准备担保下一个，等等……这些都不会永远存在。

这只是因为随着时间的推移，私钥可能会被盗/泄露。所以，如果有人偷了你的钥匙（例如，一个要离开公司的淘气员工），他们偷来的钥匙只在有限的时间内有价值。

当然，一旦您知道证书已被盗，您就可以撤销证书，但如果您没有意识到证书已被盗，那么过期会有所帮助。

高温高压