Da quanto ho capito, il certificato viene creato utilizzando una chiave privata SOLO UNA VOLTA e, una volta rilasciato a un sito Web, rimane sul server di quel sito Web. Come misura retrospettiva, in che modo una CA può rendere nuovamente invalido questo certificato se non può rimuovere il certificato dal server di qualcun altro e non può modificare le chiavi pubbliche / private che renderanno ugualmente invalidi tutti gli altri siti?
Ciò è ottenuto tramite un elenco di revoche vis. RFC 5280. Il client può richiedere un CRL (Certificate Revocation List) dalla CA (autorità di certificazione). Il CRL è firmato e timestampato dalla CA. Il client può controllare questo elenco durante l'handshake (si noti che alcuni browser sono storicamente pigri nel controllarlo a causa della maggiore latenza). Per evitare la latenza aggiunta la graffatura OCSP è un'opzione che passa il CRL al client dal server durante l'handshake.
Leggi altre domande sui tag certificate-authority