Il codice motivo 'removeFromCRL' indica che il certificato è, infatti, non revocato. L'idea alla base di 'certificateHold' è di rendere una sospensione , non una revoca: la PKI dichiara che il certificato non dovrebbe essere utilizzato fino a quando non saranno rese disponibili ulteriori informazioni (in un delta successivo o CRL completo), mentre non revocare completamente il certificato, perché la revoca è un viaggio di sola andata. In tal senso, il certificato non è mai stato revocato e quindi non è stato neppure "non revocato".
Questo implica che la "data di revoca" per un codice "removeFromCRL" è completamente ignorata. Tale data qualifica l'istante da cui il certificato deve essere considerato come revocato, fino alla fine dei tempi; il codice 'removeFromCRL' lo cancella.
Se guardi RFC 5280 , vedrai che la data di revoca non viene utilizzata affatto nell'algoritmo di convalida . Il suo scopo principale è quello di supportare la convalida precedente , quando si desidera sapere se un dato certificato era valido in una data passata (questo è usato in alcuni formati di firma, in combinazione con i timestamp). Quando un CRL elenca che un certificato è stato revocato alla data T , ciò significa che dopo la data T il certificato non deve essere considerato valido, ma anche che prima della data T andava bene. Ad esempio, se il certificato era su una smart card che è stata persa, la "data di revoca" dovrebbe essere l'ultima volta in cui la smart card è stata vista l'ultima volta dal suo proprietario, poiché in qualsiasi ulteriore data la carta potrebbe essere nelle mani sbagliate. Per la coppia certificateHold / removeFromCRL, il punto è che la chiave privata non è mai stata compromessa e il certificato non è mai stato revocato, quindi non esiste una "data di revoca".
(Indubbiamente, i codici di motivazione "certificateHold" e "removeFromCRL" sono un trucco che incoraggia i proprietari di PKI a utilizzare la revoca come meccanismo di sospensione di emergenza, ovvero un sostituto per autorizzazione , e questo è un male La revoca è, per sua natura, un meccanismo asincrono e non funziona bene per questo: quando si verifica una situazione in cui si desidera mettere un certificato "in attesa", la cosa più sensata da fare è revocare il certificato ed emettere un nuovo.)