Un elenco di revoca del certificato (CRL) è un componente dell'International Telecomunication Unions (ITU) X.509 Standard di sicurezza.Secondo lo standard X.509, un'autorità di certificazione (CA) può utilizzare un CRL per posizionare o revocare esplicitamente qualsiasi certificato di sicurezza digitale che ha emesso e che non è scaduto.Il CRL viene quindi distribuito e utilizzato da vari programmi per computer per confermare la validità dei certificati di sicurezza utilizzati per identificare una fonte.

La generazione di un certificato di sicurezza da parte di CA rientra in quello che viene chiamato Infrastruttura a chiave pubblica (PKI).Attraverso un PKI, qualsiasi utente può essere identificato dalla chiave pubblica della loro coppia di chiave di sicurezza, la chiave privata degli utenti è l'altra metà della coppia.Un utente quindi contatta una CA e, utilizzando la sua chiave pubblica come identificazione, richiede un certificato di sicurezza.Dopo una certa misura del controllo dell'identità effettiva degli utenti, la CA può quindi emettere un certificato associato alla chiave pubblica degli utenti.Con questo metodo, la CA funge da terza parte di fiducia, garantendo l'identità dell'utente che è stato emesso un certificato.

a un certificato di sicurezza digitale viene generalmente fornita una durata di una o due anni.Dopo la scadenza del certificato, l'utente deve rinnovare il suo certificato esistente rivalidando la sua identità o richiedendo un nuovo certificato.La data di scadenza di un certificato è inclusa nel certificato stesso, quindi il software per non onorare più un certificato scaduto.Ci sono momenti, tuttavia, in cui potrebbe essere necessario revocare un certificato prima della data di scadenza.Per tali istanze, una CA deve mantenere un elenco di revoca del certificato che elenca qualsiasi certificato che non è scaduto ma non può essere attendibile per qualche motivo.

Un elenco di revoca del certificato contiene una serie di possibili motivi per revocare un certificato.Il più comune è che la chiave privata per il proprietario del certificato non è più sicura, a quel punto il certificato rimane nell'elenco fino alla data di scadenza.In questo caso, l'utente deve generare una nuova coppia chiave e richiedere un certificato completamente nuovo.

Ci sono, ovviamente, altri motivi per cui un certificato può apparire nel CRL.Un certificato può essere elencato se è stato sostituito da un altro o c'è qualche modifica delle informazioni contenute nel certificato sul suo proprietario o se la CA stessa è stata compromessa, dopodiché la CA stessa apparirà in ciò che è chiamato un elenco di revoca dell'autorità(Arl).Un altro motivo per cui un certificato può apparire su un CRL è perché il certificato viene messo in attesa per qualche motivo.Nel caso di un certificato elencato come detenuto, può quindi essere ripristinato nel prossimo CRL distribuito dalla ca.Le molte, frequenti modifiche agli stati dei certificati di sicurezza digitale significano che un elenco di revoca del certificato di solito ha un'aspettativa di vita di circa 24 ore, anche se a volte meno.