1)为什么SSL证书过期?
当证书过期时,基本上是说这个公钥/私钥对已被放弃。从技术上讲,您仍然可以使用此证书来加密数据,但过期日期可以减轻其他事件的撤销次数。然而,另外,在X.509规范有概括为过期具体原因:
4.1.2.5 Validity
The certificate validity period is the time interval during which the
CA warrants that it will maintain information about the status of the
certificate.
的CA发布关于证书撤销状态的信息,这意味着他们需要跟踪它们。当证书到期时,CA已经为证书的期限完成了部分工作,并停止了该证书的跟踪信息。您实质上是在向CA支付费用,以授权说这个证书是有效的。
还有其他原因到期了。如果我仍然在使用2002年签署的证书(这是可能的),那么加密的级别可能不符合当今使用的标准。通过设置证书的端点,您还可以设置需要升级的日期。
当然,我认为你不能否认到期后最大的动机之一就是金钱[引文需要],但至少有一些技术和合理的想法背后。
2)组织需要多少SSL证书/哪些驱动因素帮助他们决定?
这取决于您的组织。传统的SSL证书与域名匹配。但是,任何东西都可以用密钥对(开发人员证书等)签名。所以,对于SSL,它将取决于您想保护的域的数量。对于传统的证书,www.domain.com和example.domain.com是完全不同的实体。还有其他类型的证书可以购买,如通配证书等,这取决于您的业务需求。说真的,你可以变得非常复杂或者非常简单。下面是保护网站上的一些基本的和不同类型的破败:哪些优势[有]“证书树”提供,而不是刚刚独立的证书SSL Certificate Types
3)?
你基本上是说你相信这个CA来生成证书。这就是为什么浏览器必须安装根CA才能接受证书。他们说,“我相信这个机构只会为有效和可信的来源签署证书。”
实际上,结果并非如此,因为很多CA没有严格检查他们在颁发证书前是否给予证书。并不总是,但它确实减轻了一些危险。问题在于何时CA根证书私钥遭到破坏,因为任何人都可以伪造合法证书。
希望这可以回答你的一些问题。
您可能也有兴趣[this](http://security.stackexchange.com/q/6737/2435)和[this](http://security.stackexchange.com/a/13690/2435) 。 (关于Security.SE上的[ssl标签](http://security.stackexchange.com/questions/tagged/ssl)上有很多问题,事实上可能是相关的。) – Bruno