Alcuni sistemi operativi, incluso Windows, vogliono applicare verifiche delle firme della DLL. La verifica implica la convalida della firma sulla chiave pubblica del firmatario, che si trova nel certificato del firmatario, che deve essere validato. La convalida del certificato include il controllo dello stato di revoca.
In pratica, un sistema operativo Windows che convalida un certificato scaricherà CRL per accertarsi che il certificato non sia revocato. Tuttavia, se lo stesso sistema operativo non è in grado di scaricare il CRL, sarà solo supposto che il certificato sia probabilmente non richiamato. Secondo il normale modello X.509 , quando non è possibile ottenere lo stato di revoca, il certificato deve essere rifiutato. Tuttavia, ciò significa che l'applicazione non viene avviata e il consumatore sarà infelice (ovvero, decisamente più infelice di quello che è già implicato nell'uso di Windows); e significherebbe che la macchina non può funzionare senza una connessione Internet funzionante, il che implicherebbe alcuni problemi interessanti di pollo e uova.
Quindi aggiungere una voce che impedisca alle connessioni di di di > di CIS di Verisign di avere un motivo malevolo: ciò consente all'aggressore di firmare il suo codice nefasto con un certificato revocato (ad esempio un certificato la cui chiave privata è stata rubato dall'attentatore qualche tempo fa), pur mantenendo una connessione Internet funzionante per la macchina indicata.