Danh sách thu hồi chứng chỉ (CRL) là một thành phần của tiêu chuẩn bảo mật Viễn thông quốc tế (ITU) X.509.Theo tiêu chuẩn X.509, cơ quan chứng chỉ (CA) có thể sử dụng CRL để giữ hoặc thu hồi rõ ràng, bất kỳ chứng chỉ bảo mật kỹ thuật số nào mà nó đã cấp và chưa hết hạn.CRL sau đó được phân phối và sử dụng bởi các chương trình máy tính khác nhau để xác nhận tính hợp lệ của các chứng chỉ bảo mật được sử dụng để nhận dạng một nguồn. Tạo chứng chỉ bảo mật của CA thuộc vào cái gọi là cơ sở hạ tầng khóa công khai (PKI).Thông qua PKI, bất kỳ người dùng nào cũng có thể được xác định bởi khóa công khai của cặp khóa bảo mật của họ, khóa riêng của người dùng là nửa còn lại của cặp.Sau đó, người dùng liên hệ với CA và sử dụng khóa công khai của mình làm nhận dạng, yêu cầu chứng chỉ bảo mật.Sau một số biện pháp kiểm tra danh tính thực tế của người dùng, CA sau đó có thể cấp chứng chỉ được liên kết với khóa công khai của người dùng.Theo phương pháp này, CA hoạt động như một bên thứ ba đáng tin cậy, đảm bảo danh tính của người dùng đã được cấp chứng chỉ.Sau khi chứng chỉ hết hạn, người dùng cần gia hạn chứng chỉ hiện có của mình bằng cách xác nhận lại danh tính của mình hoặc bằng cách yêu cầu một chứng chỉ mới hoàn toàn.Ngày hết hạn của chứng chỉ được bao gồm trong chính chứng chỉ, vì vậy phần mềm máy tính biết khi nào không còn tôn trọng chứng chỉ đã hết hạn.Tuy nhiên, có những lúc, khi một chứng chỉ có thể cần phải được thu hồi trước ngày hết hạn.Đối với các trường hợp đó, CA phải duy trì danh sách thu hồi chứng chỉ liệt kê bất kỳ chứng chỉ nào chưa hết hạn nhưng không thể tin cậy được vì một số lý do. Một danh sách thu hồi chứng chỉ chứa một số lý do có thể để thu hồi chứng chỉ.Phổ biến nhất là khóa riêng cho chủ sở hữu của chứng chỉ không còn an toàn, tại thời điểm đó, chứng chỉ vẫn còn trong danh sách cho đến ngày hết hạn.Trong trường hợp này, người dùng phải tạo một cặp khóa mới và yêu cầu chứng chỉ hoàn toàn mới. Tất nhiên, có những lý do khác mà chứng chỉ có thể xuất hiện trong CRL.Một chứng chỉ có thể được liệt kê nếu nó đã được thay thế bởi người khác hoặc có một số thay đổi đối với thông tin có trong chứng chỉ về chủ sở hữu của nó hoặc nếu CA đã bị xâm phạm(Arl).Một lý do khác mà chứng chỉ có thể xuất hiện trên CRL là vì chứng chỉ đang bị giữ vì một số lý do.Trong trường hợp chứng chỉ được liệt kê là được tổ chức, sau đó nó có thể được khôi phục trong CRL tiếp theo được phân phối bởi CA.Nhiều thay đổi thường xuyên đối với trạng thái của chứng chỉ bảo mật kỹ thuật số có nghĩa là danh sách thu hồi chứng chỉ thường có tuổi thọ khoảng 24 giờ, mặc dù đôi khi ít hơn.