Każdy certyfikat jest wystawiany z konkretnym okresem ważności. Odwołanie certyfikatu powoduje jego unieważnienie jako zaufanego poświadczenia zabezpieczeń przed wygaśnięciem ustalonego okresu ważności. Istnieje kilka powodów, dla których certyfikat może stać się niezaufany jako poświadczenie zabezpieczeń przed zaplanowanym wygaśnięciem. Oto kilka przykładów:
-
Złamanie lub podejrzenie złamania klucza prywatnego podmiotu certyfikatu.
-
Złamanie lub podejrzenie złamania klucza prywatnego urzędu certyfikacji.
-
Odkrycie, że certyfikat został uzyskany w wyniku podstępu.
-
Zmiana stanu podmiotu certyfikatu jako jednostki zaufanej.
-
Zmiana nazwy podmiotu certyfikatu.
Nie zawsze jest możliwe skontaktowanie się z urzędem certyfikacji czy innym zaufanym serwerem w celu uzyskania informacji na temat ważności certyfikatu. Aby skutecznie pomóc w sprawdzaniu stanu certyfikatu, klient musi mieć możliwość dostępu do danych odwołania pozwalających na ustalenie, czy certyfikat jest ważny, czy został odwołany. W celu zapewnienia obsługi różnorodnych scenariuszy Usługi certyfikatów w usłudze Active Directory (AD CS) obsługują standardowe, przyjęte w branży metody odwoływania certyfikatów. Należy do nich publikowanie list odwołania certyfikatów (CRL) oraz różnicowych list CRL, które mogą być udostępniane klientom z różnych lokalizacji, takich jak usługi domenowe w usłudze Active Directory (AD DS), serwery sieci Web i sieciowe udziały plików.
 | Uwaga |
|
W systemach Windows Server 2008 R2 i Windows Server 2008 można użyć obiektu odpowiadającego w trybie online, aby przyspieszyć uzyskiwanie dostępu do danych CRL w złożonych środowiskach sieciowych. Obiekt odpowiadający w trybie online korzysta z danych odwołań certyfikatów pochodzących z list CRL i przetwarza osobno poszczególne żądania stanu certyfikatów wysyłane z klientów. |
Listy CRL są kompletnymi, podpisanymi cyfrowo listami certyfikatów, które zostały odwołane. Te publikowane okresowo listy mogą być pobierane i buforowane przez klientów (na podstawie skonfigurowanego okresu ważności listy CRL) oraz używane do sprawdzania stanu odwołania certyfikatu.
Ponieważ w zależności od liczby certyfikatów wystawionych i odwołanych przez urząd certyfikacji listy CRL mogą osiągać duże rozmiary, można również publikować mniejsze, tymczasowe listy CRL, nazywane różnicowymi listami CRL. Różnicowe listy CRL zawierają tylko certyfikaty odwołane od czasu ostatniej publikacji zwykłej listy CRL. Dzięki temu klienci mogą pobrać mniejszą różnicową listę CRL i szybciej utworzyć pełną listę odwołanych certyfikatów. Różnicowe listy CRL umożliwiają także częstsze publikowanie danych odwołania, ponieważ dzięki mniejszemu rozmiarowi transfer różnicowej listy CRL zazwyczaj nie zajmuje tyle czasu co transfer pełnej listy CRL.