PKI ist eine organisierte Aufbau- und Ablauforganisation, die eine vertrauliche, gesicherte und rechtlich verbindliche Kommunikation in offenen (ungesicherten) elektronischen Kommunikationsnetzen ermöglicht. Das Prinzip einer PKI ist einfach und wirkungsvoll. Jedem Benutzer wird ein individuelles Schlüsselpaar zugewiesen. Dieses Schlüsselpaar besteht aus einem geheimen und einem öffentlichem Schlüssel (private key / public key). Mit Hilfe dieses Schlüsselpaares können Benutzer eines Kommunikationsnetzes sich gegenseitig authentifizieren und vertraulich kommunizieren. Jede PKI ist auf eine verlässliche Instanz angewiesen, die die Schlüssel erzeugt und diese authentisch an Ihre Besitzer ausgibt.
Traditionelle, auf Papier verfügbare Zertifikate sind Dokumente, die dem Inhaber eine bestimmte Eigenschaft, eine Fähigkeit oder ein Anrecht bestätigen. Das können Ausweise, Diplome oder Versicherungsverträge sein. Zertifikate sind unterschrieben von einer Autorität, der man vertraut. Digitale Zertifikate sind entsprechend digitale Dokumente, die einer natürlichen Person eine digitale Kennung zuordnen. Diese Kennung ist der öffentliche Schlüssel aus dem individuellen Schlüsselpaar, das dem Zertifikatsinhaber persönlich zugewiesen wird. Das Zertifikat wird ausgestellt von einer Zertifizierungsstelle.Auf diese Weise kann sich die reale Person in der virtuellen Welt ausweisen und rechtsverbindlich unterschreiben. Mithilfe des öffentlichen Schlüssels und des digitalen Zertifikates wird die Signatur verifiziert.
Ein digitales Zertifikat ist also ein digitales Dokument, das die Zuordnung eines öffentlichen Schlüssels zu einer natürlichen Person bezeichnet und weitere Informationen über den Schlüsselinhaber enthalten kann.
Eine Zertifikatsperrliste (engl. Certificate Revocation List - CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum.
Zertifikate werden gesperrt oder widerrufen, wenn deren zugehörige Schlüssel z.B. nicht mehr sicher sind, weil sie in falsche Hände geraten sind oder „geknackt“ wurden - in solchen Fällen muss das Zertifikat noch vor dem eigentlichen Ablaufdatum gesperrt werden, damit der Schlüssel nicht weiter verwendet wird. Ein anderer Grund für die Sperrung oder den Widerruf eines Zertifikats kann ein falscher Zertifikatsinhalt sein, beispielsweise im Fall einer Namensänderung. Zertifikatssperrlisten sind daher ein wichtiger Teil der Public Key Infrastructure.
Eine Sperre (engl. hold) ist temporär und kann aufgehoben werden (z. B. wenn man nicht sicher ist, ob der private Schlüssel verloren/kompromittiert ist, man aber sichergehen will), ein Widerruf (engl. revocation) ist endgültig.
Erklärt eine Zertifizierungsstelle (certificate authority, CA) ein Zertifikat (oder mehrere) für ungültig, trägt es die Seriennummer dieses Zertifikats in die Certificate Revocation List ein. Diese wird immer dann abgefragt, wenn ein Programm bei der Zertifizierungsstelle anfragt, ob ein bestimmtes Zertifikat gültig ist (was vor jeder Verwendung des Schlüssels geschehen sollte).
Die Sperrliste enthält einen Zeitstempel und ist zum Schutz vor Manipulation selbst durch eine digitale Signatur gesichert. Somit kann eine Software, die diese Sperrliste auswertet, prüfen, ob die Integrität der Sperrliste gewährleistet ist und ob sie von einem vertrauenswürdigen Herausgeber stammt.
Zu der Sperrliste gehört auch ein Gültigkeitszeitraum, außerhalb dessen die Informationen in der Liste eben nicht mehr als gültig betrachtet werden sollen. Eine Anwendung soll, nachdem der Gültigkeitszeitraum überschritten wurde, eine aktuelle Fassung dieser Liste von der ausstellenden CA herunterladen.
Solche Sperrlisten sind theoretisch recht einfach zu erstellen und zu verwalten, werden jedoch in der Praxis bislang selten verwendet. Das Problem ist, dass ein Programm vor Verwendung eines Schlüssels immer bei der Zertifizierungsstelle rückfragen muss - was voraussetzt, dass eine Internetverbindung besteht. Wenn keine Verbindung besteht, kann das Zertifikat nicht geprüft werden, und dann ist es möglich, dass ein Schlüssel benutzt wird, der bereits Unbefugten bekannt ist.