Sertifikaatide tühistamise loend (CRL) on Rahvusvahelise Telekommunikatsiooniliidu (ITU) X.509 turbestandardi komponent. Vastavalt standardile X.509 saab sertifitseerimisasutus (CA) kasutada CRL-i, et kinni pidada või selgesõnaliselt tühistada mis tahes digitaalse turbe sertifikaat, mille ta on välja andnud ja mis ei ole aegunud. Seejärel levitatakse CRL-i ja seda kasutavad erinevad arvutiprogrammid, et kinnitada allika tuvastamiseks kasutatud turbesertifikaatide kehtivust.
Turvasertifikaadi genereerimine CA poolt kuulub nn avaliku võtme infrastruktuuri (PKI) alla. PKI kaudu saab iga kasutaja tuvastada tema turvavõtmepaari avaliku võtme järgi, kusjuures kasutaja privaatvõti on paari teine pool. Seejärel võtab kasutaja ühendust CA-ga ja, kasutades identifitseerimiseks oma avalikku võtit, taotleb turvasertifikaati. Pärast kasutaja tegeliku identiteedi kontrollimist saab CA väljastada sertifikaadi, mis on seotud kasutaja avaliku võtmega. Selle meetodi abil toimib CA usaldusväärse kolmanda osapoolena, tagades sertifikaadi saanud kasutaja identiteedi.
Digitaalse turvasertifikaadi eluiga antakse tavaliselt üks või kaks aastat. Pärast sertifikaadi aegumist peab kasutaja oma olemasolevat sertifikaati uuendama, kinnitades uuesti oma identiteedi või taotledes kohe uut sertifikaati. Sertifikaadi aegumiskuupäev sisaldub sertifikaadil endal, nii et arvutitarkvara teab, millal aegunud sertifikaati enam mitte austada. Siiski võib mõnikord tekkida vajadus sertifikaadi tühistamiseks enne selle kehtivusaja lõppu. Nendel juhtudel peab CA haldama sertifikaatide tühistamise loendit, mis loetleb kõik sertifikaadid, mis ei ole aegunud, kuid mida ei saa mingil põhjusel usaldada.
Sertifikaadi tühistamise loend sisaldab mitmeid võimalikke põhjuseid sertifikaadi tühistamiseks. Kõige tavalisem on see, et sertifikaadi omaniku privaatvõti ei ole enam turvaline, misjärel jääb sertifikaat loendisse kuni selle kehtivusaja lõpuni. Sel juhul peab kasutaja genereerima uue võtmepaari ja taotlema täiesti uut sertifikaati.
Loomulikult võib sertifikaat CRL-is ilmuda ka muudel põhjustel. Sertifikaadi saab loetleda, kui selle on asendanud mõni teine või kui sertifikaadi omaniku kohta sisalduv teave on muutunud või kui CA ennast on ohustatud, misjärel CA ise ilmub nn volituste tühistamise loendisse. (ARL). Teine põhjus, miks sertifikaat võib CRL-is ilmuda, on see, et sertifikaat pannakse mingil põhjusel ootele. Kui sertifikaat on loetletud omavana, saab selle ennistada järgmises CA levitatud CRL-is. Paljud ja sagedased muudatused digitaalsete turvasertifikaatide olekutes tähendavad, et sertifikaatide tühistamise loendi eeldatav eluiga on tavaliselt umbes 24 tundi, kuigi mõnikord vähem.