CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) sind Mechanismen zur Prüfung, ob ein digitales Zertifikat widerrufen wurde. Die CRL ist eine periodisch veröffentlichte Liste aller widerrufenen Zertifikate einer Zertifizierungsstelle; OCSP liefert den Status einzelner Zertifikate in Echtzeit.
Im ISMS-Kontext gehören CRL und OCSP zur Kryptographiepolitik nach ISO 27001 Annex A Control A.8.24 (Einsatz von Kryptographie). Widerrufene Zertifikate — etwa nach einem Schlüsselkompromiss oder Mitarbeiteraustritt — müssen zuverlässig erkannt werden, damit verschlüsselte Verbindungen und digitale Signaturen vertrauenswürdig bleiben. OCSP Stapling reduziert die Abhängigkeit von externen OCSP-Servern und verbessert die Performance. Prüfe regelmäßig, dass Deine Systeme CRL/OCSP-Prüfungen tatsächlich durchführen.