為什麼SSL證書要設有效期？

SSL證書設置了有效期，過期需要renew； 能否設置成永久有效呢？這裡面有商業原因嗎，謝謝。

最重要的原因在於吊銷。當網站的私鑰丟失時，網站應該向證書頒發機構（CA）申請將他們的證書加入到證書吊銷列表（CRL）里。當用戶訪問https站點時，瀏覽器會自動向CA請求吊銷列表，如果用戶訪問的站點提供的證書在CRL里，瀏覽器就不信任這個證書，因為攻擊者可能擁有同樣的證書。

所以如果證書永久有效，隨著越來越多的私鑰丟失，吊銷列表也越來越大（因為只有加進去的，沒有剔出去的），這既給CA增加流量壓力，也會增加瀏覽器的流量。而一旦有效期只有幾年，那麼CA就可以將那些已經過期了的證書從CRL里剔除，因為反正瀏覽器也不信任過期證書。

首先是為了安全考慮，CA機構不能保證一個網站永遠是合法的，因此它需要定期檢查網站。

其次，以往CA證書都非常貴，簽發證書的機構通過設置期限來收費，是一種商業途徑。

最後，還有最重要的原因就是吊銷。

當網站的私鑰丟失時，網站應該向證書頒發機構（CA）申請將他們的證書加入到證書吊銷列表（CRL）里。當用戶訪問https站點時，瀏覽器會自動向CA請求吊銷列表，如果用戶訪問的站點提供的證書在CRL里，瀏覽器就不信任這個證書，因為攻擊者可能擁有同樣的證書。所以如果證書永久有效，隨著越來越多的私鑰丟失，吊銷列表也越來越大，因為只有加進去的，沒有剔出去的，這既給CA增加流量壓力，也會增加瀏覽器的流量。而一旦有效期只有幾年，那麼CA就可以將那些已經過期了的證書從CRL里剔除，因為反正瀏覽器也不信任過期證書。

目前最流行的Let"s encrypt簽發的免費SSL證書，有效期也設置為90天。

Easy HTTPs軟體，是上海哲濤科技研發的可以快速申請Let"s encrypt SSL證書的軟體。一鍵式生成，只需幾分鐘，無需複雜的配置，就可以快速申請到let"s encrypt簽發的免費SSL證書。

90天有效期到期後，Easy HTTPs軟體會自動更新下載證書，無需人工操作，方便省心。

快速申請SSL/HTTPS證書

Easy backup軟體 快速申請SSLHTTPS證書

除了越來越大的CLR或OCSP伺服器壓力之外還有一個因素就是CA機構不能保證一個網站永遠是合法的，因此它需要定期檢查網站。