证书有效性的管理机制

　　证书的有效性取决于两个方面因素：

　　第一个因素是证书有效期,证书的有效期在证书被颁发之日就已经确定了，例如CFCA规定个人证书的有效期是一年(可扩展)，企业证书的有效期是三年。证书的有效期(Validity Period)作为一项内容被写进了数字证书之中，它用两个日期——证书开始生效的日期和证书失效的日期来表示。显然，已经过了有效期的证书不能通过验证。

　　证书有效期的设定是出于安全的考虑，当一张证书有效期将结束时，如果想继续使用就需要更新，证书更新时将产生新的公私密钥对，密钥定期更新对于证书的安全性是有好处的。

　　第二个因素是证书注销,虽然证书有效期没有过，但是如果发生了特殊情况，例如用户发现证书遗失或私钥失密，用户会向CA/RA提出注销证书的申请，CA/RA经过审核后将实施证书注销。那么，被注销的证书也不能通过验证。

　　第一种情况比较简单，证书的有效期就写在了证书之中，安全认证应用软件只要调出证书的内容，判断一下就知道这张数字证书当前是否还在有效期内。

　　第二种情况则比较复杂，证书一旦发出，是不可能收回的。怎么办呢？只能申请注销。所谓注销，就是要求当初颁发这张证书的单位(CA)出一张告示，宣布某张证书已经被注销作废，警告有关的交易者注意，不要再使用与这张证书绑定的公钥。在PKI安全认证体系中，这种“告示”称为证书注销列表(或证书撤销清单、证书注销清单、证书废止列表等)，英文原文是Certificate Revocation List，缩写为CRL。

　　对于第二种情况，安全认证应用软件在验证证书的有效性时就需要去访问证书注销列表(CRL)。这个列表相当于“黑名单”，一旦发现通信对方的证书在这张列表中，就不能通过验证。

　　证书注销机制可以防止证书遗失或发现私钥失密后，不法分子冒用用户证书、私钥实行欺诈交易所带来的损失。这和信用卡注销、有效证件注销的机制十分类似。

　　注销证书的其他原因还包括：银行方面认为证书用户信用丧失、用户身份姓名发生改变、用户从他所属单位离职、岗位和职权发生变更等情况。