问：如果我们使用两年到期而不是一年到期的服务器证书，我们的基础设施有多大的暴露的风险?

　　答：这是一个非常好的问题，因为我肯定大多数人都是仅仅根据成本选择其数字证书的过期时间段的。例如，Thawte公司的Web服务器证书一年的订购费用是199美元，两年的订购费用是349美元。然而，当你制定数字证书政策的时候，成本不应该是考虑的主要因素。事实上，证书的寿命时间影响你的PKI基础设施的安全。因此，即使你充当企业证书授权机构发放自己的证书，你仍需要了解更长的过期时间段及其对安全和证书管理的影响。

　　数字证书使用一种数字签名把公共密钥与身份绑定在一起，验证一个人或者一个机构的名字。公共/专用密钥配对使用的时间越长，这些密钥被人破解的机会就越大。例如，一个特洛伊木马程序能够破坏存储在密钥位置的身份。要减少这种风险，专用密钥和公共密钥应该在更新的时候立即更新，而不要等到密钥达到最大的寿命周期。在实践应用中，拥有强大密钥的证书可能是以两年的过期期限发出的，这种证书的使用频率较低并且不容易受到攻击。同时，拥有平均密钥长度和较短的生命周期的证书应该每年更新一次，如一台Web服务器的证书。

　　例如，如果你充当自己的证书发放机构并且使用Windows证书服务向工作人员和服务器发放证书，你需要认真规划你的根证书发放机构证书的寿命周期。当这个根机构更新的时候，这个证书发放机构以前发放的所有的证书都要更新，无论这个密钥配对是不是重新批准的。因此，当证书发放机构的证书更新时，这个证书发放机构以前发放的证书都必须更新。证书发放机构不能够发放超过自己的根证书更新时间的生命周期的证书。这个规则称作“嵌套的有效性”或者“嵌套的过期”。一个证书颁发机构的证书需要比一两年更长的生命周期。事实上，根证书拥有五年的生命周期是很正常的。不过，这种增加的生命周期意味着必须要采取额外的安全措施保证这些密钥不被破解。把服务器和安全网络通讯放在上锁的数据中心以便最大限度地减少遭受攻击的危险。我还建议使用基于硬件的加密设备存储专用密钥。存储在防篡改硬件中的专用密钥永远不会暴露给操作系统或者缓存在内存中，因为所有的加密过程都是在加密硬件中实施的，而不是在计算机硬盘上完成的。