Lista odwołania certyfikatów (CRL) jest elementem standardu bezpieczeństwa międzynarodowych związków telekomunikacyjnych (ITU) X.509.Zgodnie ze standardem X.509 Urząd Certyfikatu (CA) może użyć CRL, aby zatrzymać lub wyraźnie odwołać dowolny wydany przez niego certyfikat bezpieczeństwa cyfrowego, który nie wygasł.CRL jest następnie dystrybuowany i wykorzystywany przez różne programy komputerowe w celu potwierdzenia ważności certyfikatów bezpieczeństwa wykorzystywanych do tożsamości źródła.

Generowanie certyfikatu bezpieczeństwa przez CA jest zgodne z tym, co nazywa się infrastrukturą klucza publicznego (PKI).Za pośrednictwem PKI każdego użytkownika może być zidentyfikowane przez klucz publiczny pary klucza bezpieczeństwa, przy czym klucz prywatny użytkowników to druga połowa pary.Użytkownik następnie kontaktuje się z CA i, używając swojego klucza publicznego jako identyfikacji, żąda certyfikatu bezpieczeństwa.Po pewnej miary sprawdzania rzeczywistej tożsamości użytkowników CA może następnie wydać certyfikat związany z kluczem publicznym użytkowników.Za pomocą tej metody CA działa jako zaufana strona trzecia, gwarantując tożsamość użytkownika, który został wydany certyfikat.

Cyfrowy certyfikat bezpieczeństwa jest zazwyczaj jedno- lub dwuletnia żywotność.Po wygaśnięciu certyfikatu użytkownik musi odnowić swój istniejący certyfikat poprzez ponowne weryfikację swojej tożsamości lub wprost żądając nowego certyfikatu.Data wygaśnięcia certyfikatu jest zawarta w samym certyfikcie, więc oprogramowanie komputerowe wie, kiedy nie honorować wygasłego certyfikatu.Są jednak chwile, gdy certyfikat może wymagać odwołania przed datą wygaśnięcia.W przypadku tych przypadków CA musi zachować listę odwołania certyfikatów, która wymienia wszelkie certyfikaty, które nie wygasły, ale z jakiegoś powodu nie można im zaufać.

Lista odwołania certyfikatów zawiera szereg możliwych powodów uchylenia certyfikatu.Najczęstsze jest to, że klucz prywatny dla właściciela certyfikatu nie jest już bezpieczny, w którym to momencie certyfikat pozostaje na liście do daty wygaśnięcia.W takim przypadku użytkownik musi wygenerować nową parę kluczową i poprosić o zupełnie nowy certyfikat.

Istnieją oczywiście inne powody, dla których certyfikat może pojawić się w CRL.Certyfikat można wymienić, jeśli został zastąpiony przez inny lub istnieje pewna zmiana informacji zawartych w certyfikatu na temat jego właściciela, lub jeśli sama CA została naruszona(ARL).Innym powodem, dla którego certyfikat może pojawić się na CRL, jest to, że certyfikat jest zawieszony z jakiegoś powodu.W przypadku certyfikatu wymienionego jako przechowywania można go następnie przywrócić w następnym CRL dystrybuowanym przez CA.Wiele, częste zmiany statusów cyfrowych certyfikatów bezpieczeństwa oznaczają, że lista odwołania certyfikatów zwykle ma długość życia około 24 godzin, choć czasem mniej.