Certificate revocation list

Een certificate revocation list (CRL) is een lijst van digitale identiteitscertificaten die vervallen of ongeldig zijn. Een CRL wordt bijgehouden door een certificate authority (CA).

Webbrowsers, e-mailpakketten en andere programma's controleren de geldigheid van certificaten op de achtergrond via een certificate revocation list en geven de status van het certificaat, die geldig of ongeldig kan zijn, weer.

Herroeping (revocatie) versus verloopdatum (expiratie)[bewerken | brontekst bewerken]

Certificaat verloopdatums zijn geen vervanger voor een CRL. Terwijl alle verlopen certificaten worden beschouwd als ongeldig, zijn niet alle nog-niet-verlopen certificaten geldig. Certificate revocation lists of andere certificaatvalidatietechnieken zijn een essentieel onderdeel van elk goed bediend public key infrastructure (PKI), zoals foutcontrole en sleutelbeheer.

In een opmerkelijk voorbeeld werd een certificaat voor Microsoft ten onrechte afgeleverd aan een onbekend persoon. Deze had met succes een Microsoft-certificaat nagemaakt dat betrekking had op het ActiveX- 'uitgevercertificaatsysteem' (VeriSign).^[1] Microsoft zag de noodzaak om hun cryptografie subsysteem te patchen: het zou de status van certificaten controleren vooraleer ze te vertrouwen.