署名者の所属が変わった(退社した)、死亡した、あるいは本人確認時の虚偽申告などの不正が発覚した場合など、 証明書を「失効」することがあります。

各認証局は失効した証明書のリスト (CRL:Certificate Revocation Listと呼ばれます) を保存しており、 署名時や検証時の問合せに応える仕組みがあります (OCSP:Online Certificate Status Protocolと呼ばれます)。 このため、失効すると署名も検証もできません。

しかしながら、失効されていない時点で行った署名は有効であり、過去の署名が正常に検証できないと困ります。 このため、LTV(長期検証)という仕組みがあります。詳しくは長期検証の項をあわせてお読みください。電子署名は、LTV化しておくことが基本と考えてください。