2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI
2.4.5 Treo chứng chỉ
Đôi khi, một câu hỏi được đặt ra là "có nên huỷ bỏ một chứng chỉ hay không?". Ví dụ, giả thiết rằng có một nhà băng hoạt động như là một CA đối với các khách hàng của nó và giả thiết rằng, có một hệ thống giám sát tự động, hệ thống này phát hiện các hoạt động khả nghi trong tài khoản của một khách hàng nào đó và sẽ thông báo nếu xảy ra tình trạng lộ khoá riêng của khách hàng. Trong các trường hợp như vậy, nhà băng có thể không muốn huỷ bỏ chứng chỉ của khách hàng vì nó có thể ảnh hưởng đến mối quan hệ với khách hàng, rồi sau đó phải tiến hành cấp lại chứng chỉ không cần thiết. Tuy nhiên, người sử dụng chứng chỉ này cần phải được thông báo về tình trạng này và thậm chí, họ phải chịu trách nhiệm cho việc tin cậy chứng chỉ này.
Để thoả mãn các yêu cầu này, uỷ ban ANSI 19 đưa ra một cơ chế treo chứng chỉ. Trong CRL có một mục, có thể là "bị treo" (held). Tình trạng của đầu vào trong CRL có thể được chuyển thành "bị thu hồi" (revoked) hoặc đầu vào dành cho chứng chỉ có thể bị loại bỏ hoàn toàn khỏi CRL (ngừng treo).
Tình trạng treo được thông báo qua một giá trị đặc biệt, "Treo chứng chỉ" (Certificate Hold), giá trị này nằm trong trường Mã lý do. ở đây có thêm một trường mở rộng của CRL entry liên quan đến việc treo chứng chỉ là:
Mã chỉ dẫn (Instruction code): Trường này cung cấp tên của một chỉ dẫn đã được đăng ký. Chỉ dẫn đưa ra hoạt động cần phải thực hiện khi gặp một chứng chỉ bị treo. Các chỉ dẫn có thể là "Liên lạc với CA trước khi sử dụng chứng chỉ" hoặc "Tái sở hữu thẻ/thẻ bài của người sử dụng".