Algunos sistemas operativos, incluido Windows, desean imponer verificaciones de firmas de DLL. La verificación implica validar la firma con la clave pública del firmante, que se encuentra en el certificado del firmante, que a su vez debe validarse. La validación del certificado incluye la verificación del estado de revocación.
En la práctica, un sistema operativo Windows que valida un certificado descargará la CRL para asegurarse de que el certificado no esté revocado. Sin embargo, si el mismo sistema operativo no puede descargar la CRL, entonces asumirá que el certificado probablemente no se haya revocado. De acuerdo con el modelo X.509 normal, cuando no se puede obtener el estado de revocación, el certificado debe ser rechazado. Sin embargo, esto significa que la aplicación no se inicia y que el consumidor no estará satisfecho (es decir, mucho más infeliz de lo que ya implica el uso de Windows); y significaría que la máquina no puede funcionar sin una conexión a Internet que funcione, lo que implicaría algunos problemas interesantes con el huevo y la gallina.
Por lo tanto, agregar una entrada que impida las conexiones al servidor de descarga de CRL de Verisign puede tener un motivo malicioso: esto permite al atacante firmar su código infame con un certificado revocado (por ejemplo, un certificado cuya clave privada ha sido robado por el atacante hace algún tiempo), mientras se mantiene una conexión a Internet en funcionamiento para dicha máquina.