Por default o Windows sempre coloca as listas de certificados revogados (LCRs em português, certificate revocation list ou CRL em inglês) em cache no sistema até a sua data de expiração. Isto reduz a carga sobre a rede e sobre os pontos de distribuição de CRL e torna a validação dos certificados mais eficiente.

No entanto em algumas situações pode ser interessante forçar o sistema a limpar este cache e obter novas CRLs. Nas versões anteriores do Windows a remoção das CRLs do cache não era suportada, mas agora no Windows Vista e Windows Server 2008 é possível se fazer isso, usando o comando certutil.

certutil -setreg chain\ChainCacheResyncFiletime @now   faz com que todas as entradas do cache sejam invalidadas imediatamente.

Você ainda pode ver quais CRLs estão atualmente no cache usando o comando certutil -URLcache CRL.