4.4 Listas de Anulación de Certificados X.509

El formato de listas de anulación de certificados X.509 es un estándar del ITU-T y la ISO/IEC que se publicó por primera vez en 1988 como versión 1. El formato fue modificado para incluir campos de extensión, dando origen al al formato X.509 v2 CRL.

Los campos básicos de un formato X.509 CRL (válidos para las versiones 1 y 2) son:

• Versión. Debe especificar la versión 2 si hay algún campo de extensión.
• Firma. El campo contiene identificador del algoritmo empleado para firmar la CRL.
• Nombre del generador. Este campo contiene el nombre de la entidad que ha generado y firmado la CRL.
• Esta actualización. Fecha y hora de la generación de la CRL.
• Próxima actualización. Indica la fecha y hora de la próxima actualización. El siguiente CRL puede ser generado antes de la fecha indicada pero no después de ella.
• Certificado del usuario. Contiene el número de serie de un certificado anulado.
• Fecha de anulación. Indica la fecha efectiva de la anulación.

Existe también un conjunto de campos de entrada de extensión en las CRLs X.509 v2, como el código de razón, que identifica la causa de la anulación: sin especificar, compromiso de clave, compromiso de la CA, cambio de afiliación, superado (el certificado ha sido reemplazado), cese de operación (el certificado ya no sirve para su propósito original), certificado en espera (el certificado está suspendido temporalmente) y elimina de la CRL (un certificado que aparecía en una CRL previa debe ser eliminado).

Adicionalmente también se ha añadido un conjunto de extensiones para las X.509v2 CRL con los mismos subcampos que en los certificados X.509v3. Estas extensiones permiten que una comunidad o entidad se defina sus propios campos de extensión privados.