Eine Zertifikat -Widerrufsliste (CRL) ist ein Bestandteil des internationalen Sicherheitsstandards für Telekommunikationsunionen (ITU) X.509.Gemäß dem X.509 -Standard kann eine Zertifikatbehörde (CA) eine CRL verwenden, um entweder ein von ihr ausgestellter digitaler Sicherheitszertifikat festzuhalten oder ausdrücklich zu widerrufen.Die CRL wird dann von verschiedenen Computerprogrammen verteilt und verwendet, um die Gültigkeit der für die Identität einer Quelle verwendeten Sicherheitszertifikate zu bestätigen.

Die Erzeugung eines Sicherheitszertifikats durch eine CA fällt unter die als öffentliche Schlüsselinfrastruktur (PKI) bezeichnete Infrastruktur (PKI).Durch einen PKI kann jeder Benutzer vom öffentlichen Schlüssel seines Sicherheitsschlüsselpaars identifiziert werden, wobei der private Schlüssel der Benutzer die andere Hälfte des Paares ist.Ein Benutzer kontaktiert dann eine CA und fordert mit seinem öffentlichen Schlüssel als Identifikation ein Sicherheitszertifikat an.Nach einem Maß der Überprüfung der tatsächlichen Identität der Benutzer kann die CA dann ein Zertifikat ausstellen, das an den öffentlichen Schlüssel der Benutzer gebunden ist.Nach dieser Methode fungiert die CA als vertrauenswürdige Dritte und garantiert die Identität des Benutzer, der ein Zertifikat ausgestellt wurde.Nach Ablauf des Zertifikats muss der Benutzer sein vorhandenes Zertifikat durch Neubeschaffung seiner Identität oder durch direkte Anfrage eines neuen Zertifikats verlängern.Das Ablaufdatum eines Zertifikats ist im Zertifikat selbst enthalten, sodass Computersoftware weiß, wann sie kein abgelaufenes Zertifikat mehr ehren müssen.Es gibt jedoch Zeiten, in denen möglicherweise vor seinem Ablaufdatum ein Zertifikat widerrufen werden muss.In diesen Fällen muss eine CA eine Zertifikat -Widerrufsliste verwalten, in der keine Zertifikate aufgeführt sind, die nicht abgelaufen sind, aber aus irgendeinem Grund nicht vertrauenswürdig sind.

Eine Liste der Widerrufszertifikate enthält eine Reihe möglicher Gründe für das Widerruf eines Zertifikats.Am häufigsten ist, dass der private Schlüssel für den Eigentümer des Zertifikats nicht mehr sicher ist. Zu diesem Zeitpunkt bleibt das Zertifikat bis zum Ablaufdatum auf der Auflistung.In diesem Fall muss der Benutzer ein neues Schlüsselpaar generieren und ein völlig neues Zertifikat anfordern.

Es gibt natürlich andere Gründe, warum ein Zertifikat in der CRL angezeigt wird.Ein Zertifikat kann aufgeführt werden, wenn es von einem anderen abgelöst wurde oder sich die im Zertifikat über ihren Eigentümer enthaltenen Informationen ändern oder wenn die CA selbst kompromittiert wurde, woraufhin die CA selbst auf der als Behörde bezeichneten Behörde -Widerrufsliste angezeigt wird(ARL).Ein weiterer Grund, warum ein Zertifikat auf einer CRL erscheinen kann, ist, dass das Zertifikat aus irgendeinem Grund in die Warteschleife gebracht wird.Bei einem als gehaltenen Zertifikat kann es in der nächsten CRL wieder eingestellt werden, die von der CA verteilt wird.Die vielen, häufigen Änderungen an den Status digitaler Sicherheitszertifikate bedeuten, dass eine Zertifikat -Widerrufsliste in der Regel eine Lebenserwartung von etwa 24 Stunden hat, wenn auch manchmal weniger.