Por um lado, você deve usar uma boa senha para seu keystore (armazenamento de certificados). O keystore é o local onde sua chave é armazenada localmente, por exemplo, em seu programa de e-mail. Sem a senha, ninguém pode retirar a chave privada do keystore.
Por outro lado, você só deve armazenar sua chave privada em locais seguros – por exemplo, em um pendrive que só seja acessível a você ou, melhor ainda, em um pendrive criptografado. Diretórios iniciais publicamente acessíveis, como servidores Unix NFS ou Windows Active Directory, não são um bom local para armazenar o certificado. Infelizmente, na prática, por vezes é inevitável armazenar a chave privada num local menos seguro. Por exemplo, se você usar o keystore Thunderbird na estação de trabalho nas salas de pool, as chaves terminarão automaticamente no diretório inicial do NFS (pools Linux) ou no servidor Active Directory (pools Windows). Isso torna ainda mais importante que você proteja o armazenamento de chaves com uma senha sensata.
Se, apesar de todas as medidas de precaução, o seu certificado estiver comprometido, você poderá revogá-lo. Isso geralmente acontece onde você solicitou o certificado. Os certificados desativados desta forma são anunciados pelas autoridades certificadoras nas chamadas “Listas de Revogação de Certificados” (CRLs). Todos os sistemas configurados corretamente (programas de e-mail, servidores de portal, servidores de login) levam em consideração as entradas da CRL ao verificar os certificados.
Se você perder sua chave privada ou esquecer a senha do keystore, isso resultará inevitavelmente na perda de todos os arquivos e e-mails criptografados com seu certificado público. Portanto, você deve definitivamente criar um backup de sua chave privada e pública (de preferência no formato pkcs12 com final .p12) e armazená-la em um local seguro.