证书的到期日期应设置为您希望证书所有者回来续订的日期。这是一个权衡问题：

• 每个更新操作都需要某个地方的某个人采取一些行动，因此它的成本是不可忽略的。
• 商业 CA 使用需要销售证书的商业模式，频繁更新意味着更多的收入。
• 证书到期允许您从 CRL（证书吊销列表）中删除相应的条目，因此您不希望证书的寿命过长。
• 一些司法管辖区规定了特定的有效范围，原因往往是模糊的，有时是完全不合理的。但法就是法。
• 您不希望制作的证书的有效期超出您估计公钥可能由于技术进步而变得可破解的日期。

“密钥强度”有多种“估计值”，具体取决于其长度，这些估计值有时会附带密钥寿命的建议。这种工作如果10%是科学，90%是“受过教育的猜测”，这是一种占卜。请参阅此站点以获取大量数据。特别是，NIST 表示 2048 位 RSA 密钥至少在 2030 年之前应该没问题。但是“可能破解的密钥”和“可能无法破解的密钥”之间的区别非常模糊，所以不要指望数据在这里。

在实践中，密钥强度远远超过了实际的证书生命周期。最终实体证书的典型有效期为一到三年；为中级 CA 做五到十年。对于根 CA，使其在 2037 年到期（即尽可能在未来但不跨越致命的Y2038 问题）。

微软博客中有一些信息：

Key length of 1024:  Validity period = not greater than 6-12 months
Key length of 2048:  Validity period = not greater than 2 years
Key length of 4096:  Validity period = not greater than 16 years

编辑:) 好的，所以让我们再尝试一些：

美国政府有这个建议说不应该超过3年。并且有效期应该与“更新”它所需的交互相关：需要的人际交互越多，时间越长，最长可达 3 年。

在巴西，建议是：来源

• 1024 位，软件生成：如果存储在软件中，则为 1 年，如果在硬件中（令牌），则为 2 年

• 1024 位，硬件生成：如果存储在硬件中，则为 3 年