Aunque el certificado tiene un período de validez finito, se puede revocar en cualquier momento. El acto de revocación coloca el número de serie de ese certificado en una lista de revocación de certificados (CRL). Cada certificado incluirá un enlace a una ubicación donde el emisor de dicho certificado ha publicado la CRL más reciente. Esto significa que si un certificado ya no es necesario o se ve comprometido, el portador o sujeto de ese certificado puede solicitar su revocación. Durante la validación de una cadena de certificados, todos los certificados se verifican para ver si se han revocado. Si el certificado aparece en la lista, no se puede confiar.
Los certificados tienen un período de validez por varios motivos. En primer lugar, la longitud clave. El período de validez se establece para que la longitud de la clave del certificado no se rompa "teóricamente" durante el período de validez de ese certificado. Además, las claves se deben volver a generar, en lugar de volver a emitirse. Esto se puede hacer mediante el uso de la clave privada X.509 extensión.
En segundo lugar, en una cadena de certificados, el certificado más confiable tendrá la mayor longitud de clave. Mire los certificados raíz y encontrará que estos normalmente tienen al menos 4096 bits de claves RSA. El período de validez del certificado también será más largo. Para un certificado de raíz será de entre 10 y 20 años. Esto depende en gran medida de la jerarquía de la PKI. Las jerarquías de PKI serán generalmente de 2 o 3 niveles. P.EJ. RootCA- > PolicyCA- > IssuanceCA o RootCA- > IssuanceCA. La clave privada de la CA solo debe usarse para la mitad de la validez del certificado. Si tomamos una jerarquía de 3 niveles, los períodos de validez de los certificados serán algo así como:
Raíz CA (20 años) - > Política CA (10 años) - > Emisión de CA (5 años) - > Entidad final (2 años máximo).
El período de uso de la clave privada para la CA será:
Raíz CA (10 años) - > Política CA (5 años) - > Emisión de CA (2 años máximo).
La razón para hacer esto es para que ningún certificado emitido bajo la CA raíz se convierta en inválido porque su certificado principal no sea válido.
En el ejemplo anterior, el segundo certificado para la política CA se emitirá bajo la segunda clave de la CA raíz, aunque el primer certificado es de la CA raíz todavía es válido . El segundo certificado de la CA raíz se emitirá después de 10 años, justo antes del 2º certificado de la política CA.