En Certificate Revocation List (CRL) er en komponent i International Telecommunication Unions (ITU) X.509 sikkerhetsstandard.I henhold til X.509 -standarden kan en Certificate Authority (CA) bruke en CRL for å enten plassere et tak i, eller eksplisitt tilbakekalle, ethvert digitalt sikkerhetsbevis som det har utstedt og som ikke har utløpt.CRL distribueres deretter og brukes av forskjellige dataprogrammer for å bekrefte gyldigheten av sikkerhetssertifikatene som brukes til å identifisere en kilde.

Generering av et sikkerhetssertifikat av en CA faller under det som kalles en offentlig nøkkelinfrastruktur (PKI).Gjennom en PKI kan enhver bruker identifiseres av den offentlige nøkkelen til sikkerhetsnøkkelparet, og brukerne private nøkkel er den andre halvparten av paret.En bruker kontakter deretter en CA og bruker sin offentlige nøkkel som identifikasjon, ber om et sikkerhetsbevis.Etter et visst mål for å overgå brukerne faktiske identitet, kan CA deretter utstede et sertifikat som er bundet til brukerens offentlige nøkkel.Etter at sertifikatet har utløpt, må brukeren fornye sitt eksisterende sertifikat ved å validere identiteten hans eller ved å be om et nytt sertifikat direkte.Utløpsdatoen for et sertifikat er inkludert i selve sertifikatet, så dataprogramvare vet når ikke lenger skal hedre et utløpt sertifikat.Det er imidlertid tider når et sertifikat kan trenge å oppheves før utløpsdatoen.For disse tilfellene må en CA opprettholde en tilbakekallingsliste for sertifikat som viser eventuelle sertifikater som ikke har utløpt, men som ikke kan stole på av en eller annen grunn.

En tilbakekallingsliste inneholder en rekke mulige grunner for å oppheve et sertifikat.Det vanligste er at den private nøkkelen for eieren av sertifikatet ikke lenger er trygt, på hvilket tidspunkt sertifikatet forblir på oppføringen til utløpsdatoen.I dette tilfellet må brukeren generere et nytt nøkkelpar og be om et helt nytt sertifikat.

Det er selvfølgelig andre grunner til at et sertifikat kan vises i CRL.Et sertifikat kan oppføres hvis det er erstattet av en annen, eller det er en viss endring i informasjonen i sertifikatet om eieren, eller hvis CA i seg selv har blitt kompromittert, hvorpå CA i seg selv vises på det som kalles en autoritetsliste(Arl).En annen grunn til at et sertifikat kan vises på en CRL er fordi sertifikatet blir satt på vent av en eller annen grunn.Når det gjelder et sertifikat som er oppført som avholdt, kan det deretter gjeninnføres i neste CRL distribuert av CA.De mange, hyppige endringene i statusene til digitale sikkerhetssertifikater betyr at en tilbakekallingsliste for sertifikater vanligvis har en forventet levealder på omtrent 24 timer, men noen ganger mindre.