Digitálny certifikát môže byť odvolaný ak napr. už uživateľ nie je vlastníkom privátneho kľúča (napr. ak token obsahujúci jeho privátny kľúč bol odcudzený) a teda privátny kľúč bol kompromitovaný. Certifikát môže byť tiež odvolaný ak sa odhalí, že certifikačná autorita (CA) nesprávne vydala nejaký certifikát bez rešpektovania požiadaviek bezpečnostnej politiky.
Najbežnejším mechanizmom na verifikáciu, či nejaký certifikát bol odvolaný, je založený na využití zoznamu odvolaných certifikátov (CRL- certificate revocation list). CRL je zoznam certifikátov (alebo presnejšie zoznam sériových čísel certifikátov), ktoré boli odvolané a teda sa na nich nedá spoliehať. CRL je vždy vydávaný CA, ktorá vydáva zodpovedajúce certifikáty a je generovaná a publikovaná periodicky, často v definovanóm intervale. Každá CA preto potrebuje nejaký CRL.