Trong một số trƣờng hợp nhƣ khóa bị xâm hại, hoặc ngƣời sở hữu chứng chỉ thay đổi vị trí, cơ quan… thì chứng chỉ đã đƣợc cấp không có hiệu lực. Do đó, cần
phải có một cơ chế cho phép ngƣời sử dụng chứng chỉ kiểm tra đƣợc trạng thái thu hồi chứng chỉ. X.509 cho phép kiểm tra chứng chỉ trong những trƣờng hợp sau :
- Chứng chỉ không bị thu hồi.
- Chứng chỉ đã bị CA cấp thu hồi.
- Chứng chỉ do một tổ chức có thẩm quyền mà CA ủy thác có trách nhiệm thu hồi chứng chỉ thu hồi.
Cơ chế thu hồi X.509 xác định là sử dụng danh sách thu hồi chứng chỉ (CRLs). X.509 đƣa ra sự phân biệt giữa ngày, thời gian chứng chỉ bị CA thu hồi và ngày, thời gian trạng thái thu hồi đƣợc công bố đầu tiên. Ngày thu hồi thực sự đƣợc ghi cùng với đầu vào chứng chỉ trong CRL. Ngày thông báo thu hồi đƣợc xác định trong header của CRL khi nó đƣợc công bố. Vị trí của thông tin thu hồi có thể khác nhau tùy theo CA khác nhau. Bản thân chứng chỉ có thể chứa con trỏ đến nơi thông tin thu hồi đƣợc xác định vị trí. Ngƣời sử dụng chứng chỉ có thể biết thƣ mục, kho lƣu trữ hay cơ chế để lấy đƣợc thông tin thu hồi dựa trên những thông tin cấu hình đƣợc thiết lập trong quá trình khởi sinh.
Để duy trì tính nhất quán và khả năng kiểm tra, CA yêu cầu : - Duy trì bản ghi kiểm tra chứng chỉ thu hồi.
- Cung cấp thông tin trạng thái thu hồi. - Công bố CRLs khi CRL là danh sách trống.