Danh sách huỷ bỏ chứng thực điện tử bao gồm các chứng thực đã hết hạn hoặc đã bị thu hồi. Tất cả các xác thực đều có thời hạn. Đây là một quy định mang tính thiết kế, tuy nhiên trước đây, rất khó thực hiện quy định này bởi việc gia hạn chứng thực thường phải được thông báo tới tất cả người dùng sử dụng chứng thực đó. Tính năng này bảo đảm rằng các chứng thực hết hạn sẽ được gia hạn tự động khi đến thời hạn. Với một số lý do nhất định cần thiết phải huỷ bỏ chứng thực chứ không chỉ đơn thuần là làm cho nó hết hạn. Công việc này có thể được thực hiện thông qua cơ chế danh sách huỷ bỏ chứng thực tự động. Các chủ thể có thẩm quyền cấp phép chứng thực (CA) thông thường sẽ làm công việc gửi các danh sách này tới người dùng, tuy nhiên họ cũng có thể uỷ nhiệm cho một bộ phận khác. Thông thường chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhưng trong một số trường hợp chứng chỉ lại không hợp lệ trước thời gian hết hạn, ví dụ như:
• Khóa riêng của chủ thể bị xâm phạm. • Thông tin chứa trong chứng chỉ bị thay đổi. • Khóa riêng của CA cấp chứng chỉ bị xâm phạm.
Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác. Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng chỉ là công bố CRLs định kỳ hoặc khi cần thiết. Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng như dùng phương pháp trực tuyến Online Certificate Status Protocol.
CRLs (Certificate Revocation Lists) là cấu trúc dữ liệu được ký như chứng chỉ người sử dụng. CRLs chứa danh sách các chứng chỉ đã bị thu hồi và những thông tin cần thiết khác của ngườisử dụng. CRL thường do một CA cấp. Tuy
42
nhiên CRL cũng có thể được sử dụng để cung cấp thông tin cho nhiều CA nếu nó được định nghĩa như một CRL gián tiếp.