Nella sezione sulle estensioni dei certificati, raccomandazione ITU-T X.509 scrive:
The private key corresponding to a certified public key is typically used over a different period from the validity of the public key. With digital signature keys, the usage period for the signing private key is typically shorter than that for the verifying public key. The validity period of the certificate indicates a period for which the public key may be used, which is not necessarily the same as the usage period of the private key. In the event of a private key compromise, the period of exposure can be limited if the relying party knows the legitimate use period for the private key. There is therefore a requirement to be able to indicate the usage period of the private key in a public-key certificate.
Non capisco perché ci sia una differenza nel periodo di validità della chiave pubblica vs privata. Perché la chiave privata dovrebbe essere utilizzata per un periodo diverso? Quando la chiave privata è compromessa, non ha più senso usare la chiave pubblica. Tranne che per autenticare un messaggio che sappiamo essere stato emesso prima della compromissione della chiave privata. Ma allora perché la chiave pubblica perderebbe validità dopo un po 'di tempo?