CRL

Mechanizmus žádosti o zneplatnění certifikátu zveřejňuje CA opět v dokumentu "Certifikační politika CA". Tento mechanizmus nemusí být prováděn ani elektronickou formou, ale CA může vyžadovat např. osobní účast uživatele. Pokud se provádí elektronickou cestou, pak žádost musí být elektronicky podepsána revokovaným klíčem (v případě, že by takou žádost provedl hacker neoprávněně, tj. uměl ji elektronicky podepsat, tj. znal soukromý klíč, pak je jen dobře, že jí podal).

CRL obsahuje sériová čísla zneplatněných certifikátů (může být i prázný). Revokované certifikáty se zveřejňují v CRL až do vypršení jejich původní doby platnosti (notAfter).

Způsob zveřejňování CRL je opět uveden v dokumentu "Certifikační politika CA". Může jej šířit např. pomocí elektronicky podepsaných news, posílat bezpečným mailem všem zájemcům, vystavovat na WWW-serveru (protokol HTTPS) atp.

Syntaxe v ASN.1 podle doporučení X.509 ve znění doporučení X.511:

SIGNED SEQUENCE {
        signature                     AlgorithmIdentifier,
        issuer                           Name,
        lastUpdate                  UTCTime,
        nextUpdate                 UTCTime,
        revocedCertificates    SIGNED SEQUENCE OF SEQUENCE {
                                                                             signature          AlgorithmIdentifier,
                                                                             issuer                Name,
                                                                             userCertificate  SerialNumber,
                                                                             revocationDate UTCTime OPTIONAL}
Jedná se tedy o podepsanou posloupnost obsahující algoritmus elektronického podpisu (signature), název (rozlišitelné jméno) certifikační autority vydávající CRL (issuer). Datum a čas vydání předchozího CRL (lastUpdate), pravděpodobné datum vydání následujícího CRL  a vlastní seznam revokovaných certifikátů, který je opět podepsán.

Čas vydání předchozího CRL je důležitá položka, pomocí které si ověříme, že jsme certifikát, který se objevil na CRL, nepřehlédli na minulém CRL, nebo že jsme minulé CRL zcela nepropásli. Tato položka říká které CRL bylo předchozí. Položka nextUpdate specifikuje datum a čas pravděpodobného přístího vydání CRL.

Všimněte si, že u revokovaných certifikátů je v CRL uvedeno pouze sériové číslo certifikátu (userCertificate - nikoliv subject), tj. CRL není příliš vhodné pro použití člověkem, ale je spíše určeno pro software.

Volitelná položka revocationDate  říká, kdy byl certifikát shledán podezřelým, tj. všechny dokumenty ověřované či přepravované za využití tohoto certifikátu po datu revocationDate  jsou považovány za podezřelé.

Poznámka: Podobně jako existuje rozšířený certifikát, existuje i rozšířené CRL, které je rozšířené o některé atributy.

Příklad CRL vydaného CA-PVT1:

-----BEGIN X509 CRL-----
MIIBNzCBoTANBgkqhkiG9w0BAQQFADBcMQswCQYDVQQGEwJDWjERMA8GA1UEChMI
UFZUIGEucy4xEDAOBgNVBAMTB0NBLVBWVDExKDAmBgkqhkiG9w0BCQEWGWNhLW9w
ZXJAcDcweDAzLmJybi5wdnQuY3oXDTk3MDgxNDIyMDEwMVoXDTk3MDkxMzIyMDEw
MVowFDASAgEyFw05NzA4MDcxMjQ1MDBaMA0GCSqGSIb3DQEBBAUAA4GBAJLDxcWH
CC+fEDWfqGBKmRZNb/YlTT4+U2gtH4qckIoImoZSUcMRjRaH7J/AedlT1nRbpr5c
EhgLpOaj2kK5czLpDofeUt4a9WHpTzjdbJgfKugLNhgi7hTZCKBqa5QIBuATRruz
w92PkXbsi1gJ9M7nQBas59+c7odZKxCA65GM
-----END X509 CRL-----

Je opět v "PEM-formátu". Opět si jej obratem převedeme z formátu PEM (tj. Base64) do ASN1 a DER:

SEQUENCE
    30 82 01 37
  SEQUENCE
     30 81 a1
   SEQUENCE
      30 0d
    OBJECT            :md5withRSAEncryption
       06 09 2a 86 48 86 f7 0d 01 01 04
    NULL
       05 00
   SEQUENCE
      30 5c
    SET
       31 0b
     SEQUENCE
        30 09
      OBJECT            :countryName
         06 03 55 04 06
      PRINTABLESTRING   :CZ
         13 02 43 5a
    SET
       31 11
     SEQUENCE
        30 0f
      OBJECT            :organizationName
         06 03 55 04 0a
      PRINTABLESTRING   :PVT a.s.
         13 08 50 56 54 20 61 2e 73 2e
    SET
       31 10
     SEQUENCE
        30 0e
      OBJECT            :commonName
         06 03 55 04 03
      PRINTABLESTRING   :CA-PVT1
         13 07 43 41 2d 50 56 54 31
    SET
       31 28
     SEQUENCE
        30 26
      OBJECT            :emailAddress
         06 09 2a 86 48 86 f7 0d 01 09 01
      IA5STRING         :ca-oper@p70x03.brn.pvt.cz
         16 19 63 61 2d 6f 70 65 72 40 70 37 30 78 30 33 2e 62 72 6e
         2e 70 76 74 2e 63 7a
   UTCTIME           :970814220101Z
      17 0d 39 37 30 38 31 34 32 32 30 31 30 31 5a
   UTCTIME           :970913220101Z
      17 0d 39 37 30 39 31 33 32 32 30 31 30 31 5a
   SEQUENCE
      30 14
    SEQUENCE
       30 12
     INTEGER           :32
        02 01 32
     UTCTIME           :970807124500Z
        17 0d 39 37 30 38 30 37 31 32 34 35 30 30 5a
  SEQUENCE
     30 0d
   OBJECT            :md5withRSAEncryption
      06 09 2a 86 48 86 f7 0d 01 01 04
   NULL
      05 00
  BIT STRING
     03 81 81 00 92 c3 c5 c5 87 08 2f 9f 10 35 9f a8 60 4a 99 16
     4d 6f f6 25 4d 3e 3e 53 68 2d 1f 8a 9c 90 8a 08 9a 86 52 51
     c3 11 8d 16 87 ec 9f c0 79 d9 53 d6 74 5b a6 be 5c 12 18 0b
     a4 e6 a3 da 42 b9 73 32 e9 0e 87 de 52 de 1a f5 61 e9 4f 38
     dd 6c 98 1f 2a e8 0b 36 18 22 ee 14 d9 08 a0 6a 6b 94 08 06
     e0 13 46 bb b3 c3 dd 8f 91 76 ec 8b 58 09 f4 ce e7 40 16 ac
     e7 df 9c ee 87 59 2b 10 80 eb 91 8c

Zjistíme, že CRL obsahuje pouze jeden revokovaný certifikát a to sériového čísla 50 (=32₁₆), který byl revokován 8.7.1997 v 12:45 GMT.