Вы, вероятно, не найдете точного документа по этому вопросу, отчасти потому, что люди отошли от этих двух методов проверки отзыва (они отключены по умолчанию в некоторых браузерах или, если они включены, не дают очень полезного пользовательского интерфейса)
В настоящее время люди предпочитают сшивание OCSP (см. https://casecurity.org/2013/02/14/certificate-revocation-and-ocsp-stapling/ по некоторым причинам) над CRL или OCSP.
Но вернемся точно к вашему вопросу, поскольку как CRL, так и OCSP обычно означают, что нужно что-то извлекать удаленно, это требует доступа к сети и может привести к задержкам. Поэтому, если у вас есть локальное хранилище TrustStore со всеми сертификатами, вы должны сначала проверить это, прежде чем выполнять удаленный вызов.
Также в CABForum Baseline Requirements (на https://cabforum.org/baseline-requirements-certificate-contents/) указано, что конечные точки CRL МОГУТ присутствовать в сертификате, но конечная точка OCSP ДОЛЖНА присутствовать, за исключением случаев, когда вместо этого выполняется сшивание OCSP).
Вдобавок к этому EV сертификат мандата OCSP.
Итак, короче говоря, может иметь смысл делать вещи в следующем порядке:
- Проверка в местном TrustStore
- Выполнить запрос OCSP
- Скачать CRL
Обратите внимание, что в настоящее время у вас есть и другие варианты:
- DANE, следовательно, проверка записей DNS TLSA
- Журналы прозрачности сертификата
- oneCRL / CRLset