Een certificaat intrekkingslijst (CRL) is een onderdeel van de International Telecommunication Unions (ITU) X.509 beveiligingsstandaard.Volgens de X.509 -standaard kan een certificaatautoriteit (CA) een CRL gebruiken om een wacht te stellen of expliciet in te trekken, elk digitaal beveiligingscertificaat dat het heeft uitgegeven en dat niet is verlopen.De CRL wordt vervolgens gedistribueerd en gebruikt door verschillende computerprogramma's om de geldigheid te bevestigen van de beveiligingscertificaten die worden gebruikt om een bron te identificeren.

Het genereren van een beveiligingscertificaat door een CA valt onder wat een openbare sleutelinfrastructuur (PKI) wordt genoemd.Via een PKI kan elke gebruiker worden geïdentificeerd door de openbare sleutel van zijn beveiligingssleutelpaar, waarbij de privésleutel van de gebruikers de andere helft van het paar is.Een gebruiker neemt vervolgens contact op met een CA en vraagt, met behulp van zijn openbare sleutel als identificatie, om een beveiligingscertificaat.Na een zekere mate van het controleren van de werkelijke identiteit van de gebruikers, kan de CA vervolgens een certificaat afgeven dat gebonden is aan de openbare sleutel van de gebruikers.Volgens deze methode fungeert de CA als een vertrouwde derde partij, waardoor de identiteit van de gebruiker een certificaat is uitgegeven.Nadat het certificaat is verstreken, moet de gebruiker zijn bestaande certificaat verlengen door zijn identiteit opnieuw te valideren of door een nieuw certificaat te vragen.De vervaldatum van een certificaat is opgenomen in het certificaat zelf, dus computersoftware weet wanneer geen verlopen certificaat niet langer moet worden genomen.Er zijn echter momenten waarop een certificaat mogelijk moet worden ingetrokken vóór de vervaldatum.Voor die gevallen moet een CA een lijst met certificaten bijhouden die certificaten vermeldt die niet zijn verlopen, maar om een of andere reden niet kunnen worden vertrouwd.

Een certificaatrevocatielijst bevat een aantal mogelijke redenen om een certificaat in te trekken.Het meest voorkomende is dat de privésleutel voor de eigenaar van het certificaat niet langer veilig is, op welk punt het certificaat op de lijst blijft tot de vervaldatum.In dit geval moet de gebruiker een nieuw sleutelpaar genereren en een geheel nieuw certificaat aanvragen.

Er zijn natuurlijk andere redenen waarom een certificaat in de CRL kan verschijnen.Een certificaat kan worden vermeld als het is vervangen door een ander of er is enige wijziging in de informatie in het certificaat over de eigenaar, of als de CA zelf is gecompromitteerd, waarna de CA zelf verschijnt op wat een autoriteitsrevocatielijst wordt genoemd(ARL).Een andere reden waarom een certificaat op een CRL kan verschijnen, is omdat het certificaat om een of andere reden in de wacht wordt gezet.In het geval van een certificaat dat wordt vermeld, kan het vervolgens worden hersteld in de volgende CRL die wordt gedistribueerd door de CA.De vele, frequente wijzigingen in de status van digitale beveiligingscertificaten betekenen dat een lijst met certificaat intrekking meestal een levensverwachting heeft van ongeveer 24 uur, hoewel soms minder.