En Certificate Revocation List (CRL) er en komponent i de internationale telekommunikationsforeninger (ITU) X.509 Security Standard.I henhold til X.509 -standarden kan en certifikatmyndighed (CA) bruge en CRL til enten at placere et hold på eller eksplicit tilbagekalde ethvert digitalt sikkerhedscertifikat, som den har udstedt, og som ikke er udløbet.CRL distribueres derefter og bruges af forskellige computerprogrammer til at bekræfte gyldigheden af de sikkerhedscertifikater, der bruges til at identificere en kilde.

Genereringen af et sikkerhedscertifikat ved en CA falder under det, der kaldes en offentlig nøgleinfrastruktur (PKI).Gennem en PKI kan enhver bruger identificeres af den offentlige nøgle til deres sikkerhedsnøglepar, hvor brugerne private nøgler er den anden halvdel af parret.En bruger kontakter derefter en CA og bruger sin offentlige nøgle som identifikation anmoder om et sikkerhedscertifikat.Efter en vis grad af at overvinde brugerne faktisk identitet, kan CA derefter udstede et certifikat, der er bundet til brugerens offentlige nøgle.Ved denne metode fungerer CA som en betroet tredjepart og garanterer identiteten af brugeren, der har fået et certifikat.

Et digitalt sikkerhedscertifikat gives typisk en en- eller to-årig levetid.Efter at certifikatet udløber, er brugeren nødt til at forny sit eksisterende certifikat ved at genoprette sin identitet eller ved at anmode om et nyt certifikat direkte.Udløbsdatoen for et certifikat er inkluderet i selve certifikatet, så computersoftware ved, hvornår man ikke længere kan ære et udløbet certifikat.Der er dog tidspunkter, hvor et certifikat muligvis skal tilbagekaldes inden udløbsdatoen.I disse tilfælde skal en CA opretholde en certifikat tilbagekaldelsesliste, der viser eventuelle certifikater, der ikke er udløbet, men ikke kan stole på af en eller anden grund.

En certifikat tilbagekaldelsesliste indeholder en række mulige årsager til at tilbagekalde et certifikat.Den mest almindelige er, at den private nøgle for ejeren af certifikatet ikke længere er sikkert, på hvilket tidspunkt certifikatet forbliver på fortegnelsen indtil dens udløbsdato.I dette tilfælde skal brugeren generere et nyt nøglepar og anmode om et helt nyt certifikat.

Der er selvfølgelig andre grunde til, at et certifikat kan vises i CRL.Et certifikat kan anføres, hvis det er blevet erstattet af en anden, eller der er en vis ændring af informationen indeholdt i certifikatet om dens ejer, eller hvis CA selv er blevet kompromitteret, hvorpå CA selv vil vises på det, der kaldes en liste(Arl).En anden grund til, at et certifikat kan vises på en CRL, er fordi certifikatet af en eller anden grund placeres på vent.I tilfælde af et certifikat, der er anført som holdt, kan det derefter genindføres i den næste CRL, der er distribueret af CA.De mange, hyppige ændringer i status for digitale sikkerhedscertifikater betyder, at en certifikat tilbagekaldelsesliste normalt har en forventet levealder på cirka 24 timer, dog undertiden mindre.