Jak dlouho po exspiraci se ještě certifikát na CRL uvádí? Donekonečna jistě ne. Takže pokud chci ověřovat podpisy k starším okamžikům, potřebuji starší CRL. V archivu CA nelze hledat obecně automaticky, takže je lepší mít vlastní archiv ze všech verzí aktuálních CRL z jednoho URL. Co když ale nějaké propásnu? A které z těch archivních CRL je nejsprávnější použít?
Co se děje s certifikátem revokovaným krátce před exspirací?
A lze ho vůbec revokovat krátce po exspiraci (když vím, že byl zneužit ještě před exspirací)?
Co když se CA bude chovat nekonzistentně? Např. v nějakém CRL uvede revokaci nějakého certifikátu a v dalších už ne?