Ett digitalt certifikat kan återkallas om till exempel användaren inte längre är ensam i besittning av den privata nyckeln (till exempel har beviset (token) som innehåller den privata nyckeln förkommit eller stulits) och på grund av detta har den privata nyckelns existens äventyrats. Certifikat kan också återkallas om det upptäcks att certifikatutfärdare (certification authority (CA) felaktigt har utfärdat ett intyg utan att iaktta bestämmelserna i säkerhetspolitiken.
Det vanligaste sättet för att kontrollera om ett certifikat har återkallats baseras på användningen av en lista över återkallade certifikat (certificate revocation list (CRL). CRL är en lista över certifikat (eller närmare bestämt, en lista över serienummer för certifikat) som har återkallats, och därför inte bör användas. Spärrlistan över återkallade certifikat utfärdas alltid av CA som även utfärdar motsvarande certifikat och tas fram och publiceras regelbundet under fastställda tidsperioder. Av detta följer att varje CA har behov av en CRL.