Zertifikate für VPN-Verbindungen enthalten eine Gültigkeitsdauer in Form von Start- und Enddatum. Während dieser Zeit kann über dieses Zertifikat eine VPN-Verbindung aufgebaut werden. Scheidet ein Mitarbeiter aus dem Unternehmen aus, der ein solches Zertifikat z. B. für einen mobilen VPN-Zugang verwendet, möchte man in der Regel das Zertifikat vorzeitig für ungültig erklären, damit der Zugang zum Firmennetzwerk auch bei unveränderter Konfiguration der VPN-Router nicht mehr möglich ist.
Da sich das Zertifikat selbst beim Mitarbeiter befindet und nicht verändert werden kann, wird eine Zertifikatsperrliste verwendet. In einer solchen Zertifikatsperrliste (Certificate Revocation List – CRL), wie sie z. B. von der Microsoft CA oder von OpenSSL unterstützt werden, sind die ungültigen Zertifikate eingetragen. Die CRL wird auf einem geeigneten Server bereitgestellt. Die URL, von der ein Router die CRL in seinen Speicher laden kann, wird im Root-Zertifikat des VPN-Routers und / oder in der Konfiguration des Geräts selbst eingetragen.
Die CRL wird von der CA regelmäßig erneuert, damit Änderungen in der CRL durch zurückgezogene Zertifikate von den VPN-Routern rechtzeitig erkannt werden können. Beim Aufsetzen der CA wird üblicherweise eine Zeitspanne festgelegt, nach der die CRL regelmäßig erneuert werden soll. Nach dem Erneuern der CRL und der Ablage der CRL auf dem Server (manuell oder automatisiert) muss der VPN-Router diese neuen Informationen aktualisieren. Dazu liest der Router die Gültigkeitsdauer der CRL aus und versucht kurz vor deren Ablauf eine aktuelle CRL zu laden. Alternativ kann auch ein regelmäßiges Update – unabhängig von der Gültigkeitsdauer der CRL – in einem Router definiert werden.
Beim Verbindungsaufbau prüft der VPN-Router, ob das Zertifikat der Gegenstelle in der aktuellen CRL enthalten ist. So können Verbindungen zu Gegenstellen mit ungültigen Zertifikaten abgelehnt werden.