Trong một số trường hợp như khoá bị xâm hại, hoặc người sở hữu chứng thư số thay đổi vị trí, cơ quan…thì chứng thư số đã được cấp không có hiệu lực. Do đó, cần phải có một cơ chế cho phép người sử dụng chứng thư số kiểm tra được trạng thái thu hồi chứng thư số. X.509 cho phép kiểm tra chứng thư số trong các trường hợp sau:
- Chứng thư số không bị thu hồi - Chứng thư số đã bị CA cấp thu hồi
- Chứng thư số do một tổ chức có thẩm quyền mà CA uỷ thác có trách nhiệm thu hồi chứng thư số thu hồi
Cơ chế thu hồi X.509 xác định là sử dụng danh sách thu hồi chứng thư số (CRLs). X.509 đưa ra sự phân biệt giữa ngày, thời gian chứng thư số bị CA thu hồi và ngày, thời gian trạng thái thu hồi được công bố đầu tiên. Ngày thu hồi thực sự được ghi cùng với đầu vào chứng thư số trong CRL. Ngày thông báo thu hồi được xác định trong header của CRL khi nó được công bố. Vị trí của thông tin thu hồi có thể khác nhau tuỳ theo CA khác nhau. Bản thân chứng thư số có thể chứa con trỏ đến nơi thông tin thu hồi được xác định vị trí. Người sử dụng chứng thư số có thể biết thư mục, kho lưu trữ hay cơ chế để lấy được thông tin thu hồi dựa trên những thông tin cấu hình được thiết lập trong quá trình khởi sinh.
Để duy trì tính nhất quán và khả năng kiểm tra, CA yêu cầu: - Duy trì bản ghi kiểm tra chứng thư số thu hồi
- Cung cấp thông tin trạng thái thu hồi - Công bố CRLs khi CRL là danh sách trống