En certifikatåterkallningslista (CRL) är en del av de internationella telekommunikationsföreningarna (ITU) X.509 Säkerhetsstandard.Enligt X.509 -standarden kan en certifikatmyndighet (CA) använda en CRL för att antingen placera ett grepp på eller uttryckligen återkalla alla digitala säkerhetscertifikat som det har utfärdat och som inte har löpt ut.CRL distribueras sedan och används av olika datorprogram för att bekräfta giltigheten av säkerhetscertifikaten som används för att identifiera en källa.

Generering av ett säkerhetscertifikat av en CA faller under vad som kallas en offentlig nyckelinfrastruktur (PKI).Genom en PKI kan alla användare identifieras av den offentliga nyckeln till deras säkerhetsnyckelpar, användarna privata nyckel är den andra hälften av paret.En användare kontaktar sedan en CA och använder sin offentliga nyckel som identifiering begär ett säkerhetscertifikat.Efter ett visst mått på att vetsa användarna faktiska identitet kan CA sedan utfärda ett certifikat som är bundet till användarna offentliga nyckel.Med denna metod fungerar CA som en pålitlig tredje part, vilket garanterar identiteten på användaren som har utfärdats ett certifikat.

Ett digitalt säkerhetscertifikat ges vanligtvis en eller tvåårig livslängd.Efter att certifikatet har löpt ut måste användaren förnya sitt befintliga certifikat genom att återkalla sin identitet eller genom att begära ett nytt certifikat direkt.Utgångsdatumet för ett certifikat ingår i själva certifikatet, så datorprogramvara vet när man inte längre hedrar ett utgånget certifikat.Det finns emellertid tillfällen när ett certifikat kan behöva återkallas före utgångsdatumet.För dessa fall måste en CA behålla en återkallningslista för certifikat som listar alla certifikat som inte har löpt ut men som inte kan lita på någon anledning.

En återkallelse av certifikat innehåller ett antal möjliga skäl för att återkalla ett certifikat.Den vanligaste är att den privata nyckeln för ägaren av certifikatet inte längre är säker, vid vilken tidpunkt certifikatet förblir på listan fram till dess utgångsdatum.I det här fallet måste användaren generera ett nytt nyckelpar och begära ett helt nytt certifikat.

Det finns naturligtvis andra skäl som ett certifikat kan visas i CRL.Ett certifikat kan listas om det har ersatts av en annan eller om det finns en viss förändring av informationen i certifikatet om dess ägare, eller om CA själv har äventyrats, varefter CA själv kommer att visas på vad som kallas en myndighetsåterkallningslista(Arl).Ett annat skäl som ett certifikat kan visas på en CRL är att certifikatet placeras på någon anledning.När det gäller ett certifikat som listas som hålls kan det sedan återinföras i nästa CRL som distribueras av CA.De många, ofta förändringarna i statusen för digitala säkerhetscertifikat innebär att en återkallningslista för certifikat har vanligtvis en livslängd på cirka 24 timmar, men ibland mindre.