NSS サーバーは、署名の検査を行うときに証明書取り消しリスト (CRL) の検査をサポートしています。NSS サーバーは HTTP サーバー・リポジトリーから証明書の CRL を取得し、証明書の CRLDistributionPoints 拡張を使用して CRL の場所を判別します。NSS サーバーは、すべての理由の特殊値に関連する理由フィールドを含み、HTTP URL スキームを使用して CRL を参照する、各ディストリビューション・ポイント・エントリーを CRLDistributionPoints 拡張内で検索します。 この検索は、証明書属性に一致する CRL が取得されるまで、または HTTP URL スキームを含むすべてのディストリビューション・ポイントが処理されるまで継続されます。証明書に CRLDistributionPoints 拡張が含まれていないか、または CRLDistributionPoints 拡張に HTTP URL スキームを含む少なくとも 1 つの適合するディストリビューション・ポイントがない場合、NSS サーバーは CRL を取得できません。
NSS サーバーはまた、CRL を含むことのできる、証明書バンドルの検索もサポートします。証明書の CRLDistributionPoints 拡張を使用して CRL を取得できない場合、NSS サーバーは、ネットワーク・セキュリティー・クライアントによって提供されるハッシュおよび URL 情報を持つ任意の証明書バンドルの CRL を検索します。ネットワーク・セキュリティー・クライアントは、証明書バンドルのハッシュおよび URL 情報を、リモート・セキュリティー・エンドポイントから送信される証明書ペイロードから取得します。