Sertifika iptal listesi (CRL), Uluslararası Telekomünikasyon Birliği'nin (ITU) X.509 güvenlik standardının bir bileşenidir. X.509 standardına göre, bir sertifika yetkilisi (CA) vermiş olduğu ve süresi bitmemiş herhangi bir dijital güvenlik sertifikasını bekletmek veya açıkça iptal etmek için bir CRL kullanabilir. CRL daha sonra bir kaynağı tanımlamak için kullanılan güvenlik sertifikalarının geçerliliğini doğrulamak için çeşitli bilgisayar programları tarafından dağıtılır ve kullanılır.
Bir CA tarafından güvenlik sertifikası oluşturulması, ortak anahtar altyapısı (PKI) olarak adlandırılanın altına düşmektedir. Bir PKI aracılığıyla, herhangi bir kullanıcı, güvenlik anahtarı çiftinin genel anahtarı ile tanımlanabilir; kullanıcının özel anahtarı, çiftin diğer yarısıdır. Bir kullanıcı daha sonra bir CA'ya başvurur ve ortak anahtarını kimlik olarak kullanarak bir güvenlik sertifikası ister. Kullanıcının gerçek kimliğini biraz ölçtükten sonra, CA, kullanıcının genel anahtarına bağlı bir sertifika verebilir. Bu yöntemle CA, sertifika verilen kullanıcının kimliğini garanti eden güvenilir bir üçüncü taraf olarak görev yapar.
Dijital bir güvenlik sertifikası genellikle bir veya iki yıllık bir ömür boyu verilir. Sertifikanın süresi dolduktan sonra, kullanıcının kimliğini yeniden doğrulayarak veya yeni bir sertifika talep ederek mevcut sertifikasını yenilemesi gerekir. Bir sertifikanın son kullanma tarihi sertifikanın kendisine dahildir, böylece bilgisayar yazılımı ne zaman süresi dolmuş bir sertifikayı onurlandırmayacağını bilir. Ancak, bir sertifikanın sona erme tarihinden önce iptal edilmesi gerekebilir. Bu gibi durumlarda, bir CA'nın süresi dolmamış ancak bir nedenden dolayı güvenilmeyen sertifikaları listeleyen bir sertifika iptal listesi tutması gerekir.
Sertifika iptal listesi bir sertifikayı iptal etmek için birkaç olası neden içerir. En yaygın olanı, sertifikanın sahibi için özel anahtarın artık güvende olmamasıdır, bu noktada sertifika son kullanma tarihine kadar listede kalır. Bu durumda, kullanıcı yeni bir anahtar çifti oluşturmalı ve tamamen yeni bir sertifika talep etmelidir.
Elbette, bir sertifikanın CRL'de görünmesinin başka nedenleri de olabilir. Sertifika başka bir kişi tarafından üstlenildiyse veya sertifika sahibinin sahibi ile ilgili bilgilerde bir miktar değişiklik varsa veya CA'nın güvenliği ihlal edilmişse, sertifika yetkilisinin iptal listesi adı verilen listede CA'nın kendisi göründüğünde bir sertifika listelenebilir. (ARL). Bir sertifikanın CRL'de görünmesinin başka bir nedeni, sertifikanın bir nedenden dolayı beklemeye alındığıdır. Düzenlenmiş olarak listelenen bir sertifika durumunda, CA tarafından dağıtılan bir sonraki CRL'ye yeniden yerleştirilebilir. Dijital güvenlik sertifikalarının statülerindeki sık ve sık yapılan değişiklikler, bir sertifika iptal listesinin genellikle 24 saat gibi bir ömre sahip olmasına rağmen bazen daha az olmasına neden olur.
