CRL
Liste révoqués X.509 signée par la CA.
Définition
Le client TLS consulte la CRL via l'URL CRLDP de l'extension X.509 (souvent HTTP/HTTPS). Inconvénient : taille croissante (peut atteindre des Mo), latence, fenêtre de validité (next update). OCSP et OCSP Stapling sont les successeurs préférés. Subsiste dans le code legacy bancaire.
Origine
CRL standardisée dans X.509 v1 (1988) ; format DER ASN.1 défini dans RFC 5280.
Exemple en contexte
Un VPN gateway vérifie la CRL de la PKI interne toutes les 4 heures pour rejeter les utilisateurs récemment révoqués.
Termes liés
- OCSP Stapling — successeur.