証明書には、必要に応じて、その効力が発する開始日およびその効力が失われる終了日を含めることができます。ほとんどの CA では定期的に証明書の更新を求めることを推奨しているため、終了日は特に一般的です。所有者が引き続き適切であることを確認できるだけでなく、証明書の更新を要求することもできます。
所有者の一致するプライベート キーが失われたり公開されたりした場合や、CA が所有者を信頼できると見なさなくなった場合など、証明書の取り消しが必要になることがあります。CA でこれを行う方法は 2 つあります。どちらにも欠点があります。
1 つ目は、リモートからアクセスできる証明書失効リスト (CRL) を維持する方法です。CRL は、ブラウザーなどの SSL ソフトウェアにインストールできます。SSL ソフトウェアでは、信頼できるかどうかを確認するために証明書を調べる際に、手順の一環として、インストールされている CRL のいずれかにその証明書があるかどうかを確認します。
この方法では、CA の更新は定期的に発行されるという問題があります。したがって、CA による証明書の取り消しの決定と CRL の最新版で示されている内容との間にはずれがあります。
より最近の方法は、CA がオンライン証明書状態を提供することです。つまり、証明書をチェックする SSL ソフトウェアは CA のサーバーにオンラインでアクセスし、証明書が取り消されたかどうかを示す署名付きの応答を得ることができます。このために、Online Certificate Status Protocol (OCSP (オンライン証明書状態プロトコル)) が導入されました。
この方法では、CA のサーバーに大きな負荷がかかるという問題があります。