Une liste de révocation du certificat (CRL) est un composant de la norme de sécurité des télécommunications internationales (UIT) X.509.Selon la norme X.509, une autorité de certificat (CA) peut utiliser un CRL pour placer une prise ou révocation explicitement, tout certificat de sécurité numérique qu'il a émis et qui n'a pas expiré.Le CRL est ensuite distribué et utilisé par divers programmes informatiques pour confirmer la validité des certificats de sécurité utilisés pour identifier une source.

La génération d'un certificat de sécurité par un CA relève de ce que l'on appelle une infrastructure de clé publique (PKI).Grâce à un PKI, tout utilisateur peut être identifié par la clé publique de sa paire de clés de sécurité, la clé privée des utilisateurs étant l'autre moitié de la paire.Un utilisateur contacte ensuite un CA et, en utilisant sa clé publique comme identification, demande un certificat de sécurité.Après une certaine mesure de la vérification réelle de l'identité réelle, le CA peut alors délivrer un certificat lié à la clé publique des utilisateurs.Selon cette méthode, l'AC agit comme un tiers de confiance, garantissant l'identité de l'utilisateur qui a été délivré un certificat.

Un certificat de sécurité numérique reçoit généralement une durée de vie d'un ou deux ans.Après l'expiration du certificat, l'utilisateur doit renouveler son certificat existant en ré-validant son identité ou en demandant un nouveau certificat.La date d'expiration d'un certificat est incluse dans le certificat lui-même, de sorte que les logiciels informatiques saient quand ne plus honorer un certificat expiré.Il y a cependant des moments où un certificat peut être révoqué avant sa date d'expiration.Pour ces cas, un CA doit maintenir une liste de révocation de certificat qui répertorie tous les certificats qui n'ont pas expiré mais ne peuvent pas être fiables pour une raison quelconque.

Une liste de révocation de certificat contient un certain nombre de raisons possibles pour révoquer un certificat.Le plus courant étant que la clé privée pour le propriétaire du certificat n'est plus sûr, auquel cas le certificat reste sur la liste jusqu'à sa date d'expiration.Dans ce cas, l'utilisateur doit générer une nouvelle paire de clés et demander un certificat entièrement nouveau.

Il existe, bien sûr, d'autres raisons pour lesquelles un certificat peut apparaître dans le CRL.Un certificat peut être répertorié s'il a été remplacé par un autre ou s'il y a des modifications des informations contenues dans le certificat sur son propriétaire, ou si le CA lui-même a été compromis, après quoi le CA lui-même apparaît sur ce qui appelle une liste de révocation d'autorité(Arl).Une autre raison pour laquelle un certificat peut apparaître sur un CRL est que le certificat est mis en attente pour une raison quelconque.Dans le cas d'un certificat répertorié comme étant détenu, il peut ensuite être rétabli dans le CRL suivant distribué par le CA.Les nombreux changements fréquents des statuts des certificats de sécurité numérique signifient qu'une liste de révocation de certificat a généralement une espérance de vie d'environ 24 heures, mais parfois moins.