Se una CA commerciale ritiene di essere compromessa, revocherà le CA che ritengono essere interessate. Ciò non significa che tutto il software che si fida della CA diffiderà automaticamente la CA compromessa.
I browser per esempio dovrebbero controllare un elenco di revoche di certificati (CRL) prima di fidarsi di una catena di certificati. Tuttavia, questi controlli sono notoriamente fatti in modo errato o non esistono affatto. In genere, tuttavia, aggiornano il loro archivio di certificati attendibili con un aggiornamento al browser. Altri software commerciali che si fidano di un certificato compromesso devono anche aggiornare i loro negozi fidati. Spetta al software tenere il passo con noti compromessi di certificati e autorità di certificazione.
Non sono del tutto sicuro di cosa intenda con "Software di emissione certificato commerciale". Ma sono sicuro che le CA come Symantec (Verisign), Comodo e Go Daddy forniscono tutti un meccanismo per revocare i loro certificati. Tuttavia, spetta al software che si fida del certificato per assicurarsi che tali revoche di certificati vengano implementate in qualche modo. O utilizzando i CRL aggiornati o fornendo aggiornamenti al software per rimuovere i certificati non attendibili.