Nel modello X.509, non ci sono restrizioni su download . Quando un verificatore (ad esempio un browser Web) desidera convalidare un certificato, cercherà di ottenere informazioni aggiuntive attraverso altri oggetti: certificati, CRL ... e potrebbe ottenere questi oggetti su canali non sicuri. Questo è il punto in cui CRL è firmato : un verificatore si fiderà di un CRL non perché lo ha appena ottenuto da un sito Web specifico, ma perché il CRL è firmato da un emittente CRL autorizzato (di solito la CA stessa) .
Il lato positivo di questo principio è che rende i certificati X.509 applicabili a tutti i tipi di reti. Altrimenti, avresti un problema di pollo e uova piuttosto duro: come ti fiderei di avere le giuste informazioni di revoca più recenti? Perché l'hai scaricato da un server HTTPS? Ma come hai verificato il certificato di quel server? E così via ...
Ma c'è un lato oscuro, ovviamente: un CRL è uno istantanea di informazioni di revoca in una determinata data. Essendo firmato, è immutabile. Non può essere cambiato. È quindi sempre un po 'stantio. Un verificatore richiede che il CRL utilizzato sia "non troppo vecchio" e che, implicitamente, implichi la pubblicazione periodica del CRL più recente.
Dal punto di vista tecnico, possiamo prevedere un tipo specifico di CRL che non contiene l'intero elenco di certificati revocati (che può essere ingombrante) ma solo un breve messaggio che dice "nessun certificato revocato da quella data ", permettendo così di estendere in qualche modo la durata di un CRL. Questo esiste; si chiama delta CRL . Con delta CRL, un nuovo CRL viene virtualmente emesso a intervalli regolari, senza necessariamente forzare il download di un nuovo file di grandi dimensioni.
Sfortunatamente, non tutti i software là fuori sanno come usare delta CRL.
Un'altra tecnica è segmentazione : dividi il CRL in molti file più piccoli, ciascuno dei quali parla solo di un sottoinsieme di certificati. In questa strada si trovano cRL molto piccoli che affermano lo stato di revoca di un solo certificato alla volta; questo è noto come OCSP . Anche in questo caso, il supporto è nella distribuzione.