憑證撤銷清單或 CRL,是已撤銷憑證清單,由核發金鑰組和憑證的 CA 維護。啟用 CRL 檢查後,只要憑證請求查看憑證是否已被撤銷,系統就會檢查 CRL。
如果 smime.conf 檔案中的 crlenable 設定為 1,則在找到未過期的金鑰之後執行 CRL 測試。對照 CRL 檢查公開金鑰憑證。每個 CA 僅有一個 CRL,但是同一 CRL 可以位於不同的位置。
S/MIME applet 向 Messaging Server 傳送請求之後,Messaging Server 會對照 CRL 檢查憑證。公開金鑰憑證用於驗證公開金鑰。由於私密金鑰是秘密保存的,且只有所有者才能使用,因此無法直接對照 CRL 檢查私密金鑰。若要確定私密金鑰是否正常,需要使用金鑰對的公開金鑰憑證。如果公開金鑰憑證通過 CRL 測試,則相關聯的私密金鑰也會通過測試。
憑證的撤銷可能是由於多種原因,例如該憑證的所有者離開了組織或遺失了智慧卡。
在以下三種情況下會對照 CRL 檢查憑證︰
簽名外寄的郵件時
S/MIME applet 會始終執行此檢查,除非將 sendsigncert 設定為 0,或將 crlenable 設定為 0。
讀取內送的簽名郵件時
S/MIME applet 會始終執行此檢查,除非將 readsigncert 設定為 0,或將 crlenable 設定為 0。
加密外寄的郵件時
S/MIME applet 會始終執行此檢查,除非將 sendencryptcert 設定為 0,或將 crlenable 設定為 0。