Por que o Puppet revogaria o certificado de um cliente?

Começamos a receber um erro de um dos agentes-marionetes:

Could not send report: SSL_connect returned=1 errno=0 state=SSLv3 read finished A: sslv3 alert certificate revoked

De fato, de acordo com puppet cert list $h no servidor, o certificado foi revogado. Limpei no master, apaguei o /var/lib/puppet/ssl no cliente e tudo correu bem.

Eu então executei puppet cert list --all | grep revoked - e encontrei mais de 20 outros clientes listados como "revogados" também. Observando a lista que encontrei, o agente marionete não teve nenhum problema em nenhum desses outros.

Minhas perguntas:

1. O que faria com que o Puppet "revogasse" o certificado de um cliente em particular? Certamente não foi feito por um administrador humano ...
2. Por que tais revogações não quebrariam as coisas para a maioria dos clientes - mas apenas para alguns?

Usando puppet-2.7.25 nos clientes (RHEL6) e 2.7.18 no servidor (RHEL5). Obrigado!