Un certificado digital puede ser revocado si, por ejemplo, el usuario descubre que su clave privada ha sido perdida o robada. Los certificados también pueden ser revocados si se descubre que la autoridad de certificación (CA) ha emitido incorrectamente un certificado, sin cumplir con los requisitos de la política de seguridad. Revocar un certificado significa pedir su anulación, aunque no haya caducado; sería el proceso equivalente a anular una tarjeta de crédito porque la hemos perdido o nos la han quitado.
El mecanismo más común para verificar si un certificado ha sido revocado se basa en el uso de las listas de certificados revocados (CRL). Una CRL es una lista de los certificados (o, más específicamente, una lista de los números de serie de los certificados) que han sido revocados, y por lo tanto no se debe confiar en ellos. Las CRL siempre son emitidas por la autoridad de certificación que emitió dichos certificados. Las autoridades de certificación publican periódicamente, a menudo en un intervalo definido, la CRL actualizada. Cada CA por lo tanto necesita una CRL.