Každý certifikát je vystaven s určitou dobou platnosti. Odvolání certifikátu zruší platnost certifikátu jako důvěryhodného pověření zabezpečení ještě před vypršením jeho doby platnosti. Existuje několik důvodů, proč se certifikát jako pověření zabezpečení může stát nedůvěryhodným ještě před vypršením doby platnosti. Patří mezi ně například:
-
Ohrožení zabezpečení nebo podezření na ohrožení zabezpečení privátního klíče vlastníka certifikátu
-
Ohrožení zabezpečení nebo podezření na ohrožení zabezpečení privátního klíče certifikační autority
-
Zjištění, že byl certifikát získán podvodem
-
Změna stavu vlastníka certifikátu jako důvěryhodné entity
-
Změna názvu subjektu certifikátu
Ne vždy lze získat informace o platnosti certifikátu kontaktováním certifikační autority nebo jiného důvěryhodného serveru. Účinná podpora kontroly stavu certifikátu vyžaduje, aby měl klient přístup k datům o odvolání a mohl určit, zda je certifikát platný nebo byl odvolán. Služba AD CS (Active Directory Certificate Services) podporuje standardní metody odvolání certifikátů a tím zajišťuje podporu pro různé situace. Mezi tyto metody patří publikování seznamů odvolaných certifikátů (CRL) a rozdílových seznamů CRL, které lze klientům zpřístupnit na různých místech, včetně služby AD DS (Active Directory Domain Services), webových serverů a sdílených síťových složek.
 | Poznámka |
|
V systému Windows Server 2008 R2 a Windows Server 2008 lze v prostředích složitých sítí zajistit snadnější přístup k datům seznamu CRL pomocí online respondéru. Online respondér používá data o odvolání certifikátů ze seznamů CRL a zpracovává žádosti klientů o informace o stavu certifikátů jednotlivě. |
Seznamy odvolaných certifikátů (CRL) představují úplné, digitálně podepsané seznamy certifikátů, které byly odvolány. Tyto seznamy jsou pravidelně publikovány a klienti je mohou načíst a uložit do mezipaměti (na základě konfigurované doby životnosti seznamu CRL) a používat k ověření stavu odvolání certifikátů.
Vzhledem k tomu, že velikost seznamů CRL může v závislosti na počtu certifikátů vystavených a odvolaných certifikační autoritou výrazně narůst, lze publikovat také menší provizorní seznamy, označované jako rozdílové seznamy CRL. Rozdílové seznamy CRL obsahují pouze certifikáty odvolané od okamžiku publikování posledního seznamu CRL. Klienti tak mohou načítat menší rozdílové seznamy CRL a rychleji sestavit úplný seznam odvolaných certifikátů (CRL). Při použití rozdílových seznamů CRL lze také zvýšit četnost publikování dat o odvolaných certifikátech, protože přenos rozdílových seznamů CRL obvykle netrvá tak dlouho jako v případě úplných seznamů CRL.