O listă de revocare a certificatelor (CRL) este o componentă a standardului de securitate X.509 al Uniunii Internaționale de Telecomunicații (ITU). Conform standardului X.509, o autoritate de certificare (CA) poate folosi un CRL fie pentru a suspenda, fie pentru a revoca în mod explicit orice certificat de securitate digitală pe care l-a emis și care nu a expirat. CRL este apoi distribuit și utilizat de diferite programe de calculator pentru a confirma validitatea certificatelor de securitate utilizate pentru a identifica o sursă.
Generarea unui certificat de securitate de către un CA se încadrează în ceea ce se numește infrastructură de cheie publică (PKI). Printr-o PKI, orice utilizator poate fi identificat prin cheia publică a perechii de chei de securitate, cheia privată a utilizatorului fiind cealaltă jumătate a perechii. Un utilizator contactează apoi o CA și, folosind cheia publică ca identificare, solicită un certificat de securitate. După o anumită măsură de verificare a identității reale a utilizatorului, CA poate emite apoi un certificat care este legat de cheia publică a utilizatorului. Prin această metodă, CA acționează ca o terță parte de încredere, garantând identitatea utilizatorului căruia i-a fost eliberat un certificat.
Un certificat de securitate digitală are de obicei o durată de viață de unul sau doi ani. După expirarea certificatului, utilizatorul trebuie să-și reînnoiască certificatul existent prin revalidarea identității sau prin solicitarea unui nou certificat. Data de expirare a unui certificat este inclusă în certificatul în sine, astfel încât software-ul de calculator știe când să nu mai onoreze un certificat expirat. Există, totuși, momente când un certificat poate fi necesar să fie revocat înainte de data de expirare. Pentru aceste cazuri, o CA trebuie să mențină o listă de revocare a certificatelor care listează toate certificatele care nu au expirat, dar nu pot fi de încredere dintr-un motiv oarecare.
O listă de revocare a certificatelor conține o serie de motive posibile pentru revocarea unui certificat. Cel mai frecvent este că cheia privată pentru proprietarul certificatului nu mai este sigură, moment în care certificatul rămâne pe listă până la data expirării. În acest caz, utilizatorul trebuie să genereze o nouă pereche de chei și să solicite un certificat complet nou.
Există, desigur, și alte motive pentru care un certificat poate apărea în CRL. Un certificat poate fi listat dacă a fost înlocuit de altul sau există o modificare a informațiilor conținute în certificat despre proprietarul său sau dacă CA în sine a fost compromisă, după care CA însăși va apărea pe ceea ce se numește o listă de revocare a autorității. (ARL). Un alt motiv pentru care un certificat poate apărea pe un CRL este faptul că certificatul este plasat în așteptare dintr-un anumit motiv. În cazul unui certificat listat ca fiind deținut, acesta poate fi apoi reinstalat în următorul CRL distribuit de CA. Modificările numeroase și frecvente ale stărilor certificatelor de securitate digitală înseamnă că o listă de revocare a certificatelor are de obicei o speranță de viață de aproximativ 24 de ore, deși uneori mai puțin.