Une liste de révocation de certificats (CRL) est une composante de l'Union internationale des télécommunications (UIT), norme X.509 de sécurité. Conformément à la norme X.509, une autorité de certification (CA) peut utiliser une liste de révocation soit placer une retenue sur, ou explicitement annuler tout certificat de sécurité numérique qu'elle a émis et qui n'a pas expiré. La CRL est ensuite distribués et utilisés par divers programmes informatiques pour confirmer la validité des certificats de sécurité utilisés pour l'identité d'une source.
La génération d'un certificat de sécurité par une autorité de certification relève de ce qu'on appelle une infrastructure à clé publique (PKI). Grâce à une infrastructure à clé publique, chaque utilisateur peut être identifié par la clé publique de leur paire de clés de sécurité, la clé privée de l'utilisateur est l'autre moitié de la paire. Un utilisateur contacte alors un CA et, en utilisant sa clé publique que l'identification, les demandes de certificat de sécurité. Après une certaine mesure de vetting l'identité réelle de l'utilisateur, le CA peut alors délivrer un certificat qui est lié à la clé publique de l'utilisateur. Par cette méthode, le CA agit comme un tiers de confiance, garantissant l'identité de l'utilisateur qui a été délivré un certificat.
Un certificat de sécurité numérique est généralement administré une ou deux années d'existence. Après l'expiration du certificat, l'utilisateur doit renouveler son certificat existant par le nouveau valide son identité ou en demandant un nouveau certificat pur et simple. La date d'expiration d'un certificat est inclus dans le certificat lui-même, de sorte logiciels sait quand il faut ne plus honorer un certificat expiré. Il ya des moments, cependant, quand un certificat peut être nécessaire de révoquer avant sa date d'expiration. Pour ces cas, une AC doit conserver une liste de révocation de certificats qui répertorie tous les certificats qui n'ont pas expiré mais ne peut pas être approuvé pour une raison quelconque.
Une liste de révocation de certificats contient un certain nombre de raisons possibles de révocation d'un certificat. La plus courante étant que la clé privée pour le propriétaire du certificat n'est plus sûre, à quel point le certificat reste sur la liste jusqu'à sa date d'expiration. Dans ce cas, l'utilisateur doit générer une nouvelle paire de clés et de demander un certificat d'entièrement nouveau.
Il y a, bien sûr, d'autres raisons un certificat peuvent apparaître dans le LCR. Un certificat peut être mentionnée si elle a été remplacée par une autre ou il ya un changement à l'information contenue dans le certificat de son propriétaire, ou si le CA lui-même a été compromise, après quoi le CA lui-même apparaîtra sur ce qu'on appelle une liste de révocation autorité (ARL). Une autre raison un certificat peut apparaître sur une liste de révocation parce que le certificat est mis en attente pour une raison quelconque. Dans le cas d'un certificat répertorié comme étant détenu, il peut alors être réintégré dans la prochaine LCR distribué par le CA. Les nombreux changements fréquents des statuts des certificats de sécurité numériques signifient une liste de révocation de certificats a généralement une espérance de vie d'environ 24 heures, mais parfois moins.