Por lo que entiendo, el certificado se crea utilizando una clave privada SOLAMENTE UNA VEZ, y una vez que se envía a un sitio web, permanece en el servidor de ese sitio web. Como medida retrospectiva, ¿cómo puede una CA volver a invalidar este certificado si no puede eliminar el certificado del servidor de otra persona y no puede cambiar las claves públicas / privadas, lo que también invalidará todos los demás sitios? p>
Esto se logra a través de una lista de revocaciones vis. RFC 5280. El cliente puede solicitar una CRL (Lista de revocación de certificados) de la CA (Autoridad de certificados). La CRL está firmada y marcada por la CA. El cliente puede verificar esta lista durante el protocolo de enlace (tenga en cuenta que ciertos navegadores han sido perezosos históricamente en cuanto a verificar esto debido a una mayor latencia). Para evitar la latencia adicional, el grapado OCSP es una opción que pasa la CRL al cliente por parte del servidor durante el protocolo de enlace.
Lea otras preguntas en las etiquetas certificate-authority