Система отзыва сертификатов в современных криптографических системах работает на основе списков отзыва сертификатов (CRL). 15

Процесс происходит так: 1

1. Когда цифровой сертификат отзывается, его данные добавляются в CRL, который ведёт выдавший его центр сертификации (CA). 1
2. Список периодически обновляется и распространяется через определённые точки распространения CRL (CDP), доступ к которым можно получить по URL-адресам, встроенным в сертификат. 1
3. Когда веб-браузер или приложение сталкивается с сертификатом, оно извлекает соответствующий CRL из CDP. 1
4. Полученный список сканируется на предмет серийного номера сертификата, чтобы проверить статус отзыва. 1
5. Если совпадение найдено, сертификат помечается как отозванный, и пользователь предупреждается о потенциальном риске, предотвращая неправильное принятие сертификата. 1

Некоторые причины отзыва сертификатов: компрометация ключа, компрометация ЦС, неправильно выданные сертификаты, смена владельца или прекращение деятельности. 1

Для обеспечения более быстрой проверки статуса сертификата также используется протокол онлайн-статуса сертификата (OCSP). 13 Он позволяет клиентам в интерактивном режиме запрашивать сервер о состоянии сертификата, получая ответ, который криптографически аутентифицируется центром сертификации, выдавшим сертификат. 3