Это зависит от того, являются ли они отдельными точками распространения или просто отдельными URL-адресами в одной точке распространения.
Моя интерпретация RFC 5280 раздел 4.2.1.13 и раздел 5:
Одно расширение "Точки распространения CRL" может иметь несколько элементов DistributionPoint, указывающих на разные CRL, возможно, с разными ReasonFlags (например, один CRL для замененных сертификатов, другой CRL для скомпрометированных, даже если спецификация рекомендует против этого) - поэтому вам необходимо проверить все DistributionPoints и объединить результаты.
Но одна точка распространения может иметь несколько имен (URL), указывающих на один и тот же CRL. Они действуют как альтернативы (например, избыточность или несколько протоколов), и вам нужно проверить только один URL-адрес для каждого DistributionPoint.
Если DistributionPointName содержит несколько значений, каждое имя описывает свой механизм получения одного и того же CRL. Например, один и тот же CRL может быть доступен для извлечения как по LDAP, так и по HTTP.
Так, например, если у вас есть расширение CRL DP с:
CRLDistributionPoints {
DistributionPoint {
fullName [ URI "http://foo/foo.crl", URI "ldap://foo/foo.crl" ]
},
DistributionPoint {
fullName [ URI "http://foo/bar.crl", URI "ldap://foo/bar.crl" ]
}
}
тогда вам нужно будет проверить всего два CRL: любой "foo.crl" + любой "bar.crl".