Il percorso del CRL per un certificato specifico è incorporato nel certificato stesso ed è visibile a tutti coloro che hanno accesso al certificato, che è almeno qualsiasi client che si connette a un server che utilizza questo certificato. L'ubicazione viene inserita dall'autorità emittente del certificato (CA), ovvero non è inclusa nella CSR (o viene sostituita).
Per avere un CRL diverso nel solito rispetto al solito, l'autore dell'attacco deve compromettere la CA, ovvero l'emittente del certificato. È vero che CA non può revocare il certificato emesso finché non ha accesso al percorso CRL pubblicato nel certificato.
Ma ancora una volta, apportare una tale modifica al certificato significa che l'autore dell'attacco ha compromesso la CA. Dopo tale compromesso, la CA stessa deve essere revocata (o rimossa dall'archivio di fiducia in caso di una CA principale) che in effetti invalida tutti i certificati emessi dalla CA, incluso il certificato con la posizione CRL non valida.
Questa è almeno la teoria. In pratica alcuni CA sono troppo grandi per fallire e in questo caso i certificati fraudolenti vengono effettivamente inseriti nel trust store del browser e contrassegnati esplicitamente come non attendibili. Questo processo è al di fuori dei controlli di revoca CRL / OCSP.