I certificati root non devono essere revocati a meno che non vengano compromessi. Nel caso in cui vengano compromessi, possono essere revocati inserendoli su una lista nera all'interno, ad es. un browser o rimuovendoli del tutto. Ovviamente non è possibile creare semplicemente un CRL in quanto non ci sarebbe una chiave privata attendibile; invece questa è un'operazione fuori ordine .
In generale è meglio creare un nuovo certificato di root e lasciare scadere quello vecchio. Si noti che i certificati sottostanti dovrebbero avere una data di scadenza inferiore o uguale alla data di scadenza del loro genitore. Naturalmente i nuovi certificati radice devono essere comunicati in modo sicuro ad es. i produttori di browser. Come ciò possa essere fatto è generalmente comunicato dai produttori del browser, ad es. consulta la politica di Mozilla qui .