En el modelo X.509, no hay restricción en descargar . Cuando un verificador (por ejemplo, un navegador web) quiere validar un certificado, intentará obtener información adicional a través de otros objetos: certificados, CRL ... y puede obtener estos objetos a través de canales inseguros. Ese es el punto de la firma de la CRL: un verificador confiará en una CRL no porque la haya obtenido de un sitio web específico, sino porque la CRL está firmada por un emisor de CRL autorizado (generalmente la propia CA) .
El lado positivo de este principio es que hace que los certificados X.509 sean aplicables a todo tipo de redes. De lo contrario, tendría un problema bastante grave de gallina y huevo: ¿cómo confiaría en que obtuvo la información de revocación más reciente y correcta? ¿Porque lo descargaste de un servidor HTTPS? Pero, ¿cómo verificaste el certificado de ese servidor? Y así sucesivamente ...
Pero hay un lado oscuro, por supuesto: una CRL es una instantánea de la información de revocación en una fecha determinada. Al ser firmado, es inmutable. No se puede cambiar. Por lo tanto, siempre es un poco rancio. Un verificador requerirá que la CRL que utiliza "no sea demasiado antigua", y eso, inherentemente, implica la publicación regular de una CRL más reciente.
Desde el punto de vista técnico, podemos imaginar un tipo específico de CRL que no contenga la lista completa de certificados revocados (que pueden ser voluminosos) pero solo un mensaje corto que indica "sin certificado revocado desde esa fecha ", permitiendo así extender de alguna manera la vida útil de una CRL. Esto existe se llama delta CRL . Con la CRL delta, una nueva CRL se emite virtualmente a intervalos regulares, sin forzar necesariamente la descarga de un nuevo archivo grande.
Desafortunadamente, no todo el software que hay por ahí sabe cómo usar el CRL delta.
Otra técnica es segmentación : divide la CRL en muchos archivos más pequeños, cada uno de los cuales habla solo de un subconjunto de certificados. Por ese camino se encuentran CRL muy pequeñas que afirman el estado de revocación de solo un certificado a la vez; esto se conoce como OCSP . Una vez más, el soporte está en la implementación.