En certifikatåterkallelselista (CRL) är en komponent i International Telecommunication Unions (ITU) X.509 säkerhetsstandard. Enligt X.509-standarden kan en certifikatutfärdare (CA) använda en CRL för att antingen lägga en spärr på, eller uttryckligen återkalla, alla digitala säkerhetscertifikat som den har utfärdat och som inte har löpt ut. CRL:n distribueras sedan och används av olika datorprogram för att bekräfta giltigheten av säkerhetscertifikaten som används för att identifiera en källa.
Genereringen av ett säkerhetscertifikat av en CA faller under vad som kallas en infrastruktur för offentlig nyckel (PKI). Genom en PKI kan vilken användare som helst identifieras av den publika nyckeln för deras säkerhetsnyckelpar, varvid användarens privata nyckel är den andra halvan av paret. En användare kontaktar sedan en CA och använder sin publika nyckel som identifiering och begär ett säkerhetscertifikat. Efter en viss granskning av användarens faktiska identitet kan CA sedan utfärda ett certifikat som är bundet till användarens publika nyckel. Genom denna metod fungerar CA som en pålitlig tredje part, och garanterar identiteten för användaren som har fått ett certifikat.
Ett digitalt säkerhetscertifikat ges vanligtvis en livslängd på ett eller två år. När certifikatet löper ut måste användaren förnya sitt befintliga certifikat genom att omvalidera sin identitet eller genom att direkt begära ett nytt certifikat. Förfallodatumet för ett certifikat är inkluderat i själva certifikatet, så datorprogram vet när det inte längre ska respekteras för ett utgånget certifikat. Det finns dock tillfällen då ett certifikat kan behöva återkallas innan dess utgångsdatum. I dessa fall måste en certifikatutfärdare upprätthålla en lista över återkallade certifikat som listar alla certifikat som inte har löpt ut men som av någon anledning inte kan litas på.
En certifikatspärrlista innehåller ett antal möjliga skäl för att återkalla ett certifikat. Det vanligaste är att den privata nyckeln för ägaren av certifikatet inte längre är säker, då finns certifikatet kvar på noteringen till dess utgångsdatum. I detta fall måste användaren generera ett nytt nyckelpar och begära ett helt nytt certifikat.
Det finns naturligtvis andra anledningar till att ett certifikat kan förekomma i CRL. Ett certifikat kan listas om det har ersatts av ett annat eller om det har skett någon förändring av informationen i certifikatet om dess ägare, eller om CAn själv har äventyrats, varpå CA själv kommer att synas på en så kallad auktoritetsspärrlista (ARL). En annan anledning till att ett certifikat kan visas på en CRL är att certifikatet av någon anledning hålls på is. I fallet med ett certifikat som anges som innehat, kan det sedan återställas i nästa CRL som distribueras av CA. De många, frekventa ändringarna av statusen för digitala säkerhetscertifikat innebär att en lista för återkallelse av certifikat vanligtvis har en förväntad livslängd på cirka 24 timmar, men ibland mindre.