Was ist eine CRL?
Certificate Revocation List – RFC 5280
Eine Certificate Revocation List (CRL) ist eine von einer Zertifizierungsstelle (CA) signierte Liste aller Zertifikate,
die vor Ablauf ihrer regulären Gültigkeit widerrufen wurden. Clients können diese Liste herunterladen und lokal prüfen,
ob ein vorgelegtes Zertifikat noch gültig ist – ganz ohne Online-Verbindung zum Zeitpunkt der Prüfung.
01
Wann wird widerrufen?
Ein Zertifikat wird widerrufen, wenn der private Schlüssel kompromittiert wurde, die zugehörige Person/Organisation das Unternehmen verlässt, oder ein Zertifikat fehlerhaft ausgestellt wurde. Ab diesem Moment gilt es als nicht mehr vertrauenswürdig.
02
Wie funktioniert die Prüfung?
Der Client lädt die CRL von der in der AIA-Extension des Zertifikats eingetragenen URL (CDP – CRL Distribution Point) herunter. Dann prüft er, ob die Seriennummer des vorgelegten Zertifikats in der Liste enthalten ist.
03
Gültigkeitszeitraum
Jede CRL enthält einen
thisUpdate- und einen nextUpdate-Zeitstempel. Nach Ablauf von nextUpdate muss eine neue CRL veröffentlicht werden. Bis dahin können Clients die gecachte Version verwenden.04
CRL vs. OCSP
CRLs eignen sich für Offline-Prüfungen und Umgebungen ohne dauerhaft verfügbaren Responder. Sie sind größer als OCSP-Antworten, aber unabhängig von externen Diensten. Die Kleckerbox-PKI bietet beide Verfahren parallel an.
Certificate Revocation Lists
Alle verfügbaren CRL-Dateien mit Details und Download
ca.crl.pem
1.1 KB
AusstellerC=DE, ST=BW, L=Freiburg, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Root CA, emailAddress=webmaster@klexkerbox.link
Letzte Aktual.Jun 7 04:00:01 2026 GMT
Nächste Aktual.
✓ Gültig Jul 22 04:00:01 2026 GMT
Signaturalg.sha512WithRSAEncryption
Widerrufen
0 Einträge
Dateidatum07.06.2026 03:59
CRL Details (openssl crl -text)
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=DE, ST=BW, L=Freiburg, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Root CA, emailAddress=webmaster@klexkerbox.link
Last Update: Jun 7 04:00:01 2026 GMT
Next Update: Jul 22 04:00:01 2026 GMT
CRL extensions:
X509v3 Authority Key Identifier:
E5:1C:D4:29:B8:17:E8:F3:CD:BB:71:1C:3D:4B:F6:89:4A:05:F1:FD
X509v3 CRL Number:
33085
No Revoked Certificates.
Signature Algorithm: sha512WithRSAEncryption
Signature Value:
56:1a:f5:44:ba:57:d6:7d:a0:0c:14:e5:46:56:fe:ad:fe:8f:
15:c8:92:3d:77:3c:88:1f:70:24:82:8b:d6:4d:c8:a2:a7:ea:
60:50:b4:8d:97:7c:64:2b:05:67:c2:ec:97:5b:3f:99:a0:ce:
5b:61:cc:5f:bc:d9:4c:73:0d:27:1e:53:79:c3:e6:1a:3b:6a:
e4:6f:80:5a:fb:15:be:9f:91:1b:97:b2:9c:62:7d:b6:18:02:
73:9d:78:f9:dd:22:0c:95:47:f3:08:cd:e9:f8:b7:c1:52:01:
c1:2d:dd:44:6d:a9:7e:d1:6b:57:65:a5:cb:44:62:2a:e5:97:
b6:f9:f2:81:33:d3:d8:8a:0f:fc:eb:1f:8b:00:a2:83:45:4c:
e5:74:3e:41:a5:0b:2a:da:16:02:8b:b0:b4:74:fc:38:6a:da:
43:64:3b:5d:2e:32:b5:16:d3:0e:5c:f3:4e:35:ee:35:3b:e7:
3d:b6:87:77:40:45:9d:00:84:9b:c1:50:ac:1c:88:ee:5c:40:
53:e5:b7:d3:58:38:08:a8:e1:4a:f2:bb:53:32:c8:37:29:9f:
c0:8b:a3:0e:a0:2d:d5:2d:bc:70:8e:df:d6:a9:89:37:0c:e8:
a6:8d:8a:c5:d4:5b:8f:a4:f2:e5:06:c9:e9:39:03:12:f1:a1:
dd:dc:9b:68:c9:18:b3:88:23:ab:53:ab:53:84:b4:48:6e:fe:
5d:6b:e0:cc:d6:f2:3a:7e:16:67:7c:95:b2:28:10:49:be:72:
fd:56:8c:91:a7:f6:3a:80:4d:7e:7b:18:30:9b:62:21:64:4b:
1e:e4:9c:ee:b1:16:45:35:b6:d0:33:ff:6a:db:1a:fa:74:78:
7c:de:38:fa:8e:61:95:9a:eb:aa:55:c5:db:f3:0b:53:2a:1c:
dc:50:86:31:34:7f:46:47:df:a6:b4:5d:9f:3a:31:51:ff:89:
05:91:84:c8:ce:eb:71:96:d2:2d:94:ae:54:3a:19:e8:75:74:
6e:b9:03:6d:e8:f6:48:bd:23:29:68:0c:88:bb:f0:e1:1b:4f:
7c:2b:41:8f:ff:28:b5:51:15:95:19:9f:f3:e5:04:47:2d:53:
dc:e3:29:47:9c:da:f5:e4:76:12:39:ef:84:e2:8e:06:3e:51:
77:9e:66:73:cf:ce:10:b0:53:3f:b7:e8:c8:5b:7c:e2:ee:85:
8b:f3:8a:7a:ca:ad:28:7f:5b:86:49:e2:b5:63:73:a5:78:53:
3c:9a:6c:4f:8c:28:fa:a3:99:5b:8f:7d:08:ef:cc:b9:8b:10:
87:0e:02:ae:5a:98:f9:8b:11:25:3d:2d:5e:52:a4:dd:c5:5e:
cb:ea:b7:35:01:7d:15:1a
intermediate.crl.pem
1.9 KB
AusstellerC=DE, ST=BW, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Intermediate CA, emailAddress=webmaster@kleckerbox.link
Letzte Aktual.Jun 7 04:00:01 2026 GMT
Nächste Aktual.
✓ Gültig Jul 7 04:00:01 2026 GMT
Signaturalg.sha512WithRSAEncryption
Widerrufen
29 Einträge
Dateidatum07.06.2026 03:59
CRL Details (openssl crl -text)
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=DE, ST=BW, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Intermediate CA, emailAddress=webmaster@kleckerbox.link
Last Update: Jun 7 04:00:01 2026 GMT
Next Update: Jul 7 04:00:01 2026 GMT
CRL extensions:
X509v3 Authority Key Identifier:
24:5F:8E:D7:1C:BA:D5:D4:E6:DD:AA:53:7A:DD:4D:13:C4:35:29:2F
X509v3 CRL Number:
37208
Revoked Certificates:
Serial Number: 2001
Revocation Date: Apr 25 08:47:49 2023 GMT
Serial Number: 2002
Revocation Date: Apr 24 09:37:35 2023 GMT
Serial Number: 2007
Revocation Date: Apr 18 15:43:19 2023 GMT
Serial Number: 2008
Revocation Date: Apr 17 10:36:33 2023 GMT
Serial Number: 200F
Revocation Date: Apr 17 10:39:48 2023 GMT
Serial Number: 2010
Revocation Date: Apr 17 10:42:08 2023 GMT
Serial Number: 2011
Revocation Date: Apr 17 10:42:53 2023 GMT
Serial Number: 2012
Revocation Date: Apr 17 10:46:58 2023 GMT
Serial Number: 2013
Revocation Date: Apr 17 11:02:57 2023 GMT
Serial Number: 2014
Revocation Date: Apr 17 12:00:12 2023 GMT
Serial Number: 2015
Revocation Date: May 15 09:07:45 2023 GMT
Serial Number: 2016
Revocation Date: Apr 18 15:44:21 2023 GMT
Serial Number: 2017
Revocation Date: Apr 18 16:00:29 2023 GMT
Serial Number: 2018
Revocation Date: Apr 18 16:07:00 2023 GMT
Serial Number: 2019
Revocation Date: Apr 19 07:57:31 2023 GMT
Serial Number: 201C
Revocation Date: Apr 24 09:44:10 2023 GMT
Serial Number: 201E
Revocation Date: Jul 14 13:15:37 2023 GMT
Serial Number: 2020
Revocation Date: May 17 13:17:18 2023 GMT
Serial Number: 2021
Revocation Date: Jun 17 08:54:40 2024 GMT
Serial Number: 2022
Revocation Date: Jun 17 08:53:50 2024 GMT
Serial Number: 2023
Revocation Date: Jul 14 13:15:12 2023 GMT
Serial Number: 2024
Revocation Date: Jan 18 12:29:02 2025 GMT
Serial Number: 2026
Revocation Date: Jul 30 13:12:38 2025 GMT
Serial Number: 2027
Revocation Date: Jul 30 13:12:22 2025 GMT
Serial Number: 2028
Revocation Date: Apr 1 20:31:23 2025 GMT
Serial Number: 2029
Revocation Date: Jan 18 12:32:52 2025 GMT
Serial Number: 202A
Revocation Date: Jan 18 14:02:03 2025 GMT
Serial Number: 202B
Revocation Date: Jul 7 11:22:00 2025 GMT
Serial Number: 2030
Revocation Date: Jul 30 13:10:53 2025 GMT
Signature Algorithm: sha512WithRSAEncryption
Signature Value:
33:8e:64:f0:2b:9a:38:32:1e:33:10:23:10:56:89:c3:51:02:
bf:ec:c7:53:61:da:6f:21:73:c9:af:7f:7c:2c:0f:a6:63:9e:
02:19:a8:c4:43:97:02:d7:27:8f:c4:8e:33:46:74:c6:a0:a6:
df:73:1d:39:14:01:c5:ec:d5:b0:27:48:39:7d:fd:04:46:b2:
b7:b3:f5:7e:91:b2:8f:b1:94:bd:9e:68:7f:be:f5:50:37:c1:
4b:09:6e:c0:a3:50:ba:97:b0:13:a8:25:65:42:89:c4:17:36:
fe:1f:57:8a:b5:b8:d3:48:71:43:3f:5b:fb:76:c6:c0:13:cd:
56:a2:78:6a:41:d1:0d:2d:16:2c:9e:9c:60:cc:6a:6e:5e:46:
08:a3:08:a3:f3:ba:c0:a0:2e:82:eb:c3:ea:38:9c:65:cc:81:
e8:e5:90:61:c2:9b:c3:da:7b:f2:d7:6c:95:63:0b:59:64:3d:
62:81:a7:be:2a:54:e3:5b:32:02:fc:6e:dd:28:f8:cc:50:56:
9f:1a:ad:0d:c2:33:07:42:61:9d:29:76:82:e9:d6:68:66:75:
ee:45:37:9f:5d:81:bf:e1:b5:6e:a0:3c:47:45:e0:2c:a6:32:
17:37:44:51:b0:50:69:c4:44:ba:45:00:03:72:de:7d:bd:38:
23:39:7a:3c:8c:b5:c2:cf:70:df:55:36:42:e2:a6:40:1f:07:
b1:ca:de:bf:18:ee:f8:a7:e4:1f:6a:da:c0:37:a1:05:fe:ca:
6f:f6:20:63:8d:0a:ca:6f:de:43:b0:af:bf:43:ae:4b:c1:87:
6f:37:89:a5:44:cf:3e:21:69:06:3c:86:98:36:d9:b2:7c:7a:
4a:e7:a2:86:88:ce:3b:96:4b:20:70:b5:d4:f1:0b:3f:82:9c:
e8:51:76:38:30:37:9f:26:4e:3f:7a:e5:86:05:9c:a2:8c:7f:
1f:5b:91:82:f3:6a:f3:3a:77:4f:24:d2:f9:37:54:e3:8a:ec:
be:06:19:24:fd:f1:89:61:ec:77:1e:0c:86:88:dd:35:16:0a:
16:e6:18:77:fc:26:bf:db:af:18:c4:d8:53:d5:57:da:93:d1:
7b:8c:80:1a:d9:fc:4f:4d:d0:05:2d:ba:64:65:ad:9a:9e:06:
d3:9a:d5:32:7d:5b:cb:37:1b:64:80:c1:c9:e5:c1:d8:30:96:
a5:52:a4:ff:bc:9d:df:e4:7c:8d:d3:72:e2:91:e3:b5:42:e5:
1e:92:a9:30:83:c0:35:f2:6a:44:01:15:4a:84:0b:e1:99:07:
08:54:f2:dd:a4:06:2d:30:25:bd:0b:6d:80:96:17:46:f2:b1:
01:82:d7:ce:44:8d:9d:a3
subca.crl.pem
1.3 KB
AusstellerC=DE, ST=BW, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Subordinate CA, emailAddress=webmaster@kleckerbox.link
Letzte Aktual.Jun 7 04:00:01 2026 GMT
Nächste Aktual.
✓ Gültig Jul 7 04:00:01 2026 GMT
Signaturalg.sha512WithRSAEncryption
Widerrufen
6 Einträge
Dateidatum07.06.2026 03:59
CRL Details (openssl crl -text)
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=DE, ST=BW, O=Kleckerbox, OU=Privat, CN=Kleckerbox / Subordinate CA, emailAddress=webmaster@kleckerbox.link
Last Update: Jun 7 04:00:01 2026 GMT
Next Update: Jul 7 04:00:01 2026 GMT
CRL extensions:
X509v3 Authority Key Identifier:
91:4E:CB:4D:0F:BE:44:0F:03:8F:81:0D:B4:54:8F:DF:1A:36:0B:B0
X509v3 CRL Number:
41279
Revoked Certificates:
Serial Number: 3006
Revocation Date: Jan 13 11:53:46 2023 GMT
Serial Number: 3007
Revocation Date: Jan 13 11:58:33 2023 GMT
Serial Number: 3008
Revocation Date: Apr 25 10:14:50 2023 GMT
Serial Number: 3009
Revocation Date: Jan 13 12:03:34 2023 GMT
Serial Number: 300A
Revocation Date: Jan 13 12:06:18 2023 GMT
Serial Number: 300C
Revocation Date: Apr 25 10:37:44 2023 GMT
Signature Algorithm: sha512WithRSAEncryption
Signature Value:
bd:22:6c:7c:cf:0b:6c:74:fd:dd:c1:b7:20:b2:49:7c:df:30:
1f:ff:47:6d:98:7e:ef:b3:3b:3b:4d:85:c1:4d:ee:3b:cf:b4:
82:0e:b5:8b:d4:02:68:7d:24:6b:07:73:a1:5d:ce:82:b8:48:
f2:38:68:9d:a8:31:90:5d:97:62:3d:c0:8a:71:9d:cd:46:25:
3d:85:f3:fa:fa:02:35:14:8e:88:fb:0c:a4:5b:35:29:b1:86:
43:e8:5d:44:cc:5f:a8:1c:04:4d:da:5a:d0:d9:f8:96:29:aa:
19:8d:eb:5a:e7:d0:e0:72:b9:5e:f8:9d:34:39:e6:9f:01:37:
cb:cd:58:da:07:05:45:c9:43:eb:34:f0:23:f4:da:39:01:57:
18:70:1f:a7:01:9d:f4:5f:a3:20:cf:b7:1e:15:bd:88:86:47:
e4:3f:81:4a:48:0f:9a:8a:72:c6:3b:47:a1:2f:79:dc:bb:49:
e5:e3:1b:67:80:e0:80:8e:b0:5e:4c:40:dc:d7:07:a2:ef:3a:
ac:5e:ab:66:b5:03:08:1b:d4:b6:ce:4a:87:1c:db:69:32:bf:
d6:20:03:5b:fd:8d:08:54:13:2e:77:83:dd:40:8b:8f:0a:94:
ea:cd:80:11:27:f3:3f:8c:37:cc:f8:88:fc:e3:7f:a9:f0:82:
36:b8:fc:92:06:0f:4d:27:0b:23:aa:1e:37:d0:66:57:59:18:
e2:c6:b2:fa:02:46:11:ae:84:b2:3a:5d:52:5d:6a:7f:02:97:
25:59:10:03:60:39:4f:61:57:db:37:41:9c:ec:7e:3d:2d:42:
12:a5:82:3b:9f:0c:3a:52:9a:7c:d3:ca:de:b5:fa:4b:a2:ea:
ec:2e:5a:1d:f5:2c:5b:db:8a:17:30:31:8f:24:9f:8f:16:66:
7c:e6:9e:5a:4e:5a:a3:64:f1:f3:cd:26:17:87:34:fe:e6:93:
ea:11:51:e8:a3:fd:3f:52:c6:45:cd:ab:0e:34:55:1b:43:36:
98:da:27:60:55:18:51:96:8e:ac:4b:1f:94:2a:e1:8d:53:e3:
9f:c1:dc:3f:ba:07:1f:22:03:f7:db:d7:f7:2c:df:c7:95:51:
94:83:f8:ae:54:49:30:ec:23:f3:e0:04:b0:41:4d:b4:d9:d7:
67:d5:27:f8:59:cf:e0:cd:dd:03:0d:7d:98:80:63:2c:31:14:
e3:a3:65:f8:24:1d:8f:26:8d:93:8a:53:3d:25:f9:b9:03:ae:
ed:f1:dd:e2:8e:57:54:1c:96:a0:22:2c:29:38:a2:03:a3:12:
ee:b0:b8:01:95:41:0e:1e:0d:df:a3:c5:4f:22:12:93:bc:ca:
56:2e:f7:ba:c0:92:6b:61
openssl CLI-Referenz
Manuelle Prüfung auf der Kommandozeile
CRL anzeigen
openssl crl -in ca.crl.pem -noout -text
Zertifikat gegen CRL prüfen
openssl verify -crl_check -CRLfile ca.crl.pem -CAfile ca.crt cert.pem
Seriennummer aus Zertifikat
openssl x509 -in cert.pem -noout -serial
CRL → DER konvertieren
openssl crl -in ca.crl.pem -outform DER -out ca.crl