Les certificats ont forcément une durée de validité max, ne serait-ce que parce que leur résistance n'est garantie que pendant un temps limité (qui dépendra de ton algo et de la longueur de clef).
Par ailleurs, c'est une bonne pratique d'avoir des durées raisonnables : en cas de compromission ponctuelle et non détectée, tu limites les dégâts en forçant le renouvellement.
Le mieux est souvent d'avoir des durées courtes (30 j, par exemple) : ça oblige à automatiser le renouvellement. Bien évidemment, dans d'autres contextes, il vaut mieux une durée plus longue si tu ne peux pas automatiser de bout en bout (quand ton AC est déconnectée).