Sebbene il certificato abbia un periodo di validità limitato, può essere revocato in qualsiasi momento. L'atto di revoca inserisce il numero di serie di tale certificato in un elenco di revoche di certificati (CRL). Ogni certificato includerà un collegamento a un'ubicazione in cui l'ultimo CRL è stato pubblicato dall'emittente del certificato. Ciò significa che se un certificato non è più necessario o viene compromesso, il possessore o l'oggetto di tale certificato può richiedere che venga revocato. Durante la convalida di una catena di certificati, tutti i certificati vengono controllati per vedere se sono stati revocati. Se il certificato appare nell'elenco, non ci si può fidare di questo.
I certificati hanno un periodo di validità per una serie di motivi. In primo luogo, la lunghezza della chiave. Il periodo di validità è impostato in modo tale che la lunghezza della chiave del certificato non venga "teoricamente" interrotta durante il periodo di validità di tale certificato. Inoltre, le chiavi dovrebbero essere rigenerate, piuttosto che ri-pubblicate. Questo può essere applicato utilizzando l'estensione X.509 di utilizzo della chiave privata.
In secondo luogo, in una catena di certificati il certificato più affidabile avrà la lunghezza della chiave più lunga. Guarda i certificati di root e troverai che normalmente hanno almeno 4096 bit di chiavi RSA. Anche il periodo di validità del certificato sarà più lungo. Per un certificato di root sarà tra 10 e 20 anni. Questo dipende molto dalla gerarchia della PKI. Le gerarchie PKI saranno in genere di 2 o 3 livelli. PER ESEMPIO. RootCA- > PolicyCA- > IssuanceCA o RootCA- > IssuanceCA. La chiave privata della CA deve essere utilizzata solo per metà della validità del certificato. Se prendiamo una gerarchia a 3 livelli, i periodi di validità dei certificati saranno qualcosa come:
CA principale (20 anni) - > Policy CA (10 anni) - > CA di emissione (5 anni) - > End Entity (2 anni max).
Il periodo di utilizzo della chiave privata per la CA sarà:
CA principale (10 anni) - > Policy CA (5 anni) - > Issuing CA (2 anni max.)
Il motivo per cui ciò avviene è che nessun certificato emesso sotto la CA radice non sarà più valido perché il certificato principale è diventato non valido.
Nell'esempio precedente, il secondo certificato per la politica CA verrà emesso con la seconda chiave della CA principale, anche se il primo certificato della CA radice è ancora valido . Il secondo certificato della CA radice verrà emesso dopo 10 anni, subito prima del secondo certificato della CA della politica.