Lorsque l'autorité de certification révoque un certificat numérique, le navigateur sait que ce certificat n'est pas valide.Autorité de certification - processus de révocation de certificat
Le navigateur vérifie-t-il la liste de révocation à chaque fois?
Le navigateur ne connaît pas tous les certificats révoqués par l'autorité de certification. Mais lorsqu'il rencontre un certificat qu'il doit valider (c'est-à-dire un certificat SSL), il le valide.
Lorsque le navigateur doit valider le certificat, il crée une chaîne de certificats jusqu'à une autorité de certification racine de confiance et, pour chaque élément de la chaîne, il vérifie la liste de révocation. La liste des autorités racines de confiance est fournie avec le navigateur.
La liste de révocation peut être mise en cache car elle contient une date d'expiration (not_after). S'il existe un lien vers OCSP dans le certificat, le navigateur pourrait (en fonction de ses paramètres) utiliser OCSP au lieu de CRL pour vérifier la validité du certificat.