Thời gian tồn tại của một chứng chỉ khoá công khai bị giới hạn, có thể biết được thời gian này thông qua giờ/ngày bắt đầu có hiệu lực và giờ/ngày hết hạn của chứng chỉ, tất cả những thông tin này nằm trong phần được ký của chứng chỉ. Khoảng thời gian hợp lệ bao lâu là do chính sách của CA phát hành, thông thường kéo dài từ vài tháng đến vài năm.
Khi một chứng chỉ được phát hành, nó có thể được sử dụng trong trong suốt thời gian hợp lệ của mình. Tuy nhiên, trong một số trường hợp, những người sử dụng không nên tiếp tục tin tưởng vào một chứng chỉ mặc dù thời gian hợp lệ của chứng chỉ này chưa kết thúc. Những trường hợp đó bao gồm phát hiện hoặc nghi ngờ lộ khoá riêng, thay đổi tên hoặc thay đổi mối quan hệ với chủ thể và CA. Trong những trường hợp như vậy CA có thể thu hồi chứng chỉ. DO có thể bị thu hồi, khoảng thời gian hoạt động của chứng chỉ có thể ngắn hơn so với thời gian hoạt động của một chứng chỉ có thể ngắn hơn so với khoảng thời gian hợp lệ được định trước.
2.3.5.1 Yêu cầu thu hồi
Quyết định thu hồi một chứng chỉ thuộc trách nhiệm của một CA, nói chung để đáp ứng một yêu cầu từ một người có quyền nào đó. Người có quyền thu hồi chứng chỉ dựa vào các hoạt động của một CA, thuê bao phải được biết các hoạt động này. Nói chung, thuê bao có quyền yêu cầu thu hồi chứng chỉ của mình. Những người có trách nhiệm của CA cũng có quyền thu hồi chứng chỉ của một thuê bao trong trường hợp bắt buộc, ví dụ như vi phạm nghiêm trọng và các điều khoản bắt buộc trong hoạt động chứng thực do CA đưa ra. Ngoài ra, những người khác có thể có quyền yêu cầu thu hồi, ví dụ như những người làm công của thuê bao có thê yêu cầu thu hồi chứng chỉ liên quan đến hợp đồng làm thuê.
CA sẽ xác thực nguồn gốc của bất cứ yêu cầu thu hồi nào. Khi có cơ quan đăng ký địa phương, trách nhiệm tiếp nhận và phê chuẩn các yêu cầu thu hồi thuộc trách nhiệm của cơ quan này.
2.3.5.2 Danh sách các chứng chỉ bị thu hồi (CRL)
Sau khi quyết định thu hồi một chứng chỉ, CA cần làm cho những người sử dụng chứng chỉ nhận biết được sự thu hồi này. Giải pháp thông dụng nhất là có một thông báo về sự thu hồi, CA phát hành một cách định kỳ một cấu trúc dữ liệu gọi là danh sách các chứng chỉ bị thu hồi (CRL). Khái niệm CRL được trình bày trong chuẩn X.509. CRL là một danh sách các chứng chỉ bị thu hồi được gán nhãn thời
gian, danh sách này được CA ký và làm nó có hiệu lực đối với những người sử dụng chứng chỉ. CRL có thể phân tán, ví dụ có thể gửi đến địa chỉ WEB xác định hoặc thông qua đầu vào thư mục X.500 của CA. Mỗi chứng chỉ bị thu hồi được CRL nhận dạng thông qua số hiệu của nó, mỗi chứng chỉ có một số hiệu duy nhất, số hiệu này do CA phát hành sinh ra và nó nằm trong chứng chỉ.
Một hạn chế của giải pháp này là thời gian định kỳ, nó hạn chế khoảng thời gian phát hành CRL. Ví dụ, khi có một thông báo thu hồi không được chuyển đến các hệ thống sử dụng chứng chỉ một cách tin cậy cho đến khi thời gian phát hành CRL kế tiếp bắt đầu (ví dụ, có thể khoảng 1 giờ, 1 ngày, 1 tuần hoặc lâu hơn). Lưu ý rằng, không có gì ngăn cản được một CA sinh ra và gửi đi một CRL mới ngay khi có một thu hồi mới xuất hiện. Tuy nhiên, không gì có thể đảm bảo rằng các CRL không định kỳ như vậy có đến được các hệ thống sử dụng chứng chỉ hay không. Ví dụ, nếu một đối tượng trái phép xoá một CRL không định kỳ từ một máy chủ không tin cậy và thay thế vào đó là một CRL đã được phát hành trước đó, tất nhiên hệ thống sử dụng chứng chỉ không thể phát hiện ra được.
2.3.5.3 Sự huỷ bỏ ngay lập tức
Một mối quan tâm, thường xuyên đối với giải pháp “đưa ra danh sách các thu hồi một cách định kỳ” là các hệ thống sử dụng chứng chỉ không thể chấp nhận sự chậm trễ các thông báo vì lý do định kỳ.
Với việc kiểm tra thu hồi trong thời gian thực (real time revocation checking) và kiểm tra tình trạng trực tuyến (online status checking), một hệ thống sử dụng khoá công khai muốn xác nhận thời gian hợp lệ của một chứng chỉ (sử dụng trong một giao dịch trực tuyến với một máy chủ đang liên kết với CA phát hành). Cuộc giao dịch sẽ trả lại một thông báo về tình trạng thu hồi hiện thời của chứng chỉ. Nó phải được tiến hành an toàn, đảm bảo được tính đúng lúc và nguồn của nó cho hệ thống sử dụng khoá công khai. Các yêu cầu đặc thù này có trong từng cuộc giao dịch, khi CA sinh ra một chữ ký số và khi hệ thống sử dụng khoá công khai kiểm tra chữ ký số này. CA phải thực hiện các dịch vụ trực tuyến có giá trị cao, tiếp cận được tất cả những người sử dụng và dịch vụ này phải được thực hiện trong một môi trường an toàn.
Kiểm tra thu hồi trong thời gian thực có thể có hiệu quả trong một số môi trường, đặc biệt trong các công đồng khép kín gồm các chủ thể và những người sử dụng khoá công khai. Chi phí mua và hoạt động của các máy chủ trực tuyến tin cậy có thể rất cao. Dễ nhận thấy rằng, một máy chủ như vậy cần tạo ra chữ ký số cho mỗi cuộc hỏi đáp và các tài nguyên cần cho quá trình xử lý mật mã có thể rất đắt. Chi phí cho hoạt động máy chủ an toàn cũng rất cao.