Depende se eles são pontos de distribuição separados ou se são apenas URLs separados no mesmo ponto de distribuição.
Minha interpretação da seção 4.2.1.13 da RFC 5280 e da seção 5 :
Uma única extensão "CRL Distribution Points" pode ter vários itens do DistributionPoint apontando para CRLs diferentes, possivelmente com ReasonFlags diferentes (por exemplo, uma CRL para certificados substituídos, outra CRL comprometida, mesmo que a especificação recomende isso) - portanto, é necessário verificar todas DistributionPoints e concatenar os resultados.
Mas um único DistributionPoint pode ter vários nomes (URLs) apontando para a mesma CRL. Eles atuam como alternativas (por exemplo, redundância ou vários protocolos) e você só precisa verificar um URL para cada DistributionPoint.
Se o DistributionPointName contiver vários valores, cada nome descreverá um mecanismo diferente para obter a mesma CRL. Por exemplo, a mesma CRL pode estar disponível para recuperação por meio do LDAP e HTTP.
Por exemplo, se você tem uma extensão DP da CRL com:
CRLDistributionPoints {
DistributionPoint {
fullName [ URI "http://foo/foo.crl", URI "ldap://foo/foo.crl" ]
},
DistributionPoint {
fullName [ URI "http://foo/bar.crl", URI "ldap://foo/bar.crl" ]
}
}
você precisaria verificar o total de duas CRLs: qualquer uma "foo.crl" + qualquer uma "bar.crl".
