В случае сертификатов Х.509 отозванная подпись фактически представляет то же самое, что и аннулированный сертификат, поскольку вообще лишь одна подпись была поручительством подлинности сертификата — подпись Центра сертификации. PGP предоставляет дополнительную возможность аннулирования всего сертификата (а не только подписей на нём), если вы вдруг посчитаете, что он был каким-либо образом скомпрометирован.
Только владелец сертификата (обладатель соответствующего закрытого ключа) или некто, специально уполномоченный владельцем (т. н."доверенный отменитель", designated revoker), может аннулировать сертификат OpenPGP. (Доверение третьему лицу функции аннулирования весьма полезно, т. к. потеря пароля к закрытому ключу, которая зачастую и служит поводом к аннулированию, делает исполнение этой процедуры самим владельцем сертификата невозможной.) Сертификат Х.509 может быть отозван только его издателем — ЦС — по запросу владельца.
Уведомление об аннулировании сертификата
После аннулирования сертификата крайне важно оповестить всех потенциальных корреспондентов, что он более недействителен. Наиболее простой способ оповещения в среде PGP — это размещение аннулированного сертификата на сервере-депозитарии; таким образом, все, кто могут решить связаться с вами, будут предупреждены не использовать этот открытый ключ.
В среде PKI уведомление об аннулировании сертификатов осуществляется посредством специального механизма, называемого списком аннулированных сертификатов(Certificate Revocation List, CRL), публикуемого Центром сертификации. CRL содержит датированный заверенный список всех аннулированных непросроченных сертификатов системы. Аннулированные сертификаты остаются в списке только до момента своего фактического истечения, после чего удаляются оттуда — это предотвращает бесконечное разрастание списка.
ЦС обновляет CRL через регулярные промежутки времени. Теоретически, это должно свести к минимуму риск непреднамеренного использования аннулированного сертификата. Хотя, всё же остаётся вероятность случайного применения скомпрометированного сертификата во временном промежутке между публикациями CRL.