Elvben erre való a CRL, illetve az OCSP, más kérdés, hogy ezeket mostanában mennyire kezelik jól (tapasztalatom szerint elég vegyes), ráadásul ezek akkor lépnek életbe, ha kiderül, hogy kompromittálódott a cert. Ha nem, akkor csak a lejárati idő véd.