Es gibt zwei unterschiedliche Semantiken, mit denen das Feld nextUpdate übermittelt wird:

1. das Datum, an dem eine neuere CRL sein sollte verfügbar, sodass es sich für einen neuen Download lohnt (in ähnlicher Weise sollte eine zwischengespeicherte CRL vor dem im Feld nextUpdate angegebenen Datum als die neueste angesehen werden);
2. das Datum danach Eine bestimmte CRL sollte als veraltet angesehen werden.
ol>

Es wird erwartet, dass sich die CRL überlappen, sodass die Übergänge reibungslos verlaufen und sich der Netzwerkverkehr über den Tag verteilt. In der Regel erstellt eine Zertifizierungsstelle jede Stunde eine neue CRL (damit neue Informationen verfügbar sind), lässt jedoch zu, dass eine bestimmte CRL einen Tag (24 Stunden) gültig ist. Da eine CRL etwas groß sein kann, ist das Herunterladen teuer. Daher würden Implementierungen es vorziehen, dies nicht zu oft zu tun, wenn sie keinen praktischen Nutzen hat. Da jedoch jede Zertifizierungsstelle ihre eigene Richtlinie hat, kann ein generischer Zertifikatsprüfer a priori nicht wissen, welche Art von Zeitplan eine bestimmte Zertifizierungsstelle verwendet. Es muss es anhand der Daten in den Zertifikaten und der CRL lernen.

Die erste Bedeutung ist, was X.509 vorschreibt. Jeder benutzt es jedoch mit der zweiten Bedeutung. In der Tat behandeln Implementierungen von X.509 (z. B. in Webbrowsern, wenn sie das Zertifikat eines Webservers validieren) nextUpdate so, als wäre es ein endOfValidity -Datum. In letzter Zeit hat Microsoft eine neue Erweiterung mit dem Namen nextPublish definiert, die die erste Bedeutung annimmt (die Erweiterung ist in Anhang A.1 von diesem Entwurf in einem OCSP-Kontext zu sehen). Diese Erweiterung (die für Microsoft bislang privat und nicht standardmäßig zu sein scheint) erkennt irgendwie an, dass die gängige Praxis in Bezug auf die Bedeutung von nextUpdate von der Theorie abweicht.

Es wird aus einer Reihe von Gründen verwendet:

• Es ermöglicht ein optimaleres Abrufen von CRLs von einem Pull-basierten Dienst wie HTTP, sodass Abrufzeiten für eine Antwort pro Antwort konfiguriert werden können Basis.
• Ermöglicht die Auswahl von diff-basierten oder vollständigen CRL-Downloads, da davon ausgegangen wird, dass eine CRL, die am oder nach der nächsten Aktualisierungszeit angezeigt wird, eine reguläre Aktualisierung ist, während eine Aktualisierung vor der Aktualisierung erfolgt Es wird davon ausgegangen, dass es sich bei dem nächsten Update um einen Sicherheitspatch handelt. Daher wird die gesamte CRL im lokalen Cache ersetzt.
• Damit können CRLs nach Ablauf des Zertifikats gekürzt werden, ohne dass eine neue gesendet werden muss CRL. Dies erfolgt durch automatisches Entfernen des CRL-Eintrags beim ersten regulären Update (dh beim nächsten Update-Zeitpunkt) nach Ablauf des Zertifikats.

Siehe Abschnitt 5.1.2.5 von RFC3280 für weitere Informationen.