Trong một số trường hợp như khoá bị xâm hại, hoặc người sở hữu chứng chỉ thay ựổi vị trắ, cơ quanẦthì chứng chỉ ựã ựược cấp không có hiệu lực. Do ựó, cần phải có một cơ chế cho phép người sử dụng chứng chỉ kiểm tra ựược trạng thái thu hồi chứng chỉ. X.509 cho phép kiểm tra chứng chỉ trong các trường hợp sau:
- Chứng chỉ không bị thu hồi - Chứng chỉ ựã bị CA cấp thu hồi
- Chứng chỉ do một tổ chức có thẩm quyền mà CA uỷ thác có trách nhiệm thu
hồi chứng chỉ thu hồi
Cơ chế thu hồi X.509 xác ựịnh là sử dụng danh sách thu hồi chứng chỉ (CRLs). X.509 ựưa ra sự phân biệt giữa ngày, thời gian chứng chỉ bị CA thu hồi và ngày, thời gian trạng thái thu hồi ựược công bố ựầu tiên. Ngày thu hồi thực sự ựược ghi cùng với ựầu vào chứng chỉ trong CRL. Ngày thông báo thu hồi ựược xác ựịnh trong header của CRL khi nó ựược công bố. Vị trắ của thông tin thu hồi có thể khác nhau tuỳ theo CA khác nhau. Bản thân chứng chỉ có thể chứa con trỏ ựến nơi thông tin thu hồi ựược xác ựịnh vị trắ. Người sử dụng chứng chỉ có thể biết thư mục, kho lưu trữ hay cơ chế ựể lấy ựược thông tin thu hồi dựa trên những thông tin cấu hình ựược thiết lập trong quá trình khởi sinh.
để duy trì tắnh nhất quán và khả năng kiểm tra, CA yêu cầu:
- Duy trì bản ghi kiểm tra chứng chỉ thu hồi - Cung cấp thông tin trạng thái thu hồi - Công bố CRLs khi CRL là danh sách trống