Да. CRL-файл запрашивается всегда, за исключением случаев:
- CRL уже хранится в кеше и с момента последнего обновления прошло меньше времени, чем указано в сроке жизни файла;
- CRL хранится в хранилище списка отзыва (локальный список отзыва), и также пока не устарел.
Отображение содержимого кеша:
certutil -urlcache crl
А вот OCSP-запросы могут не выполняться из-за настроек Windows. В Internet Explorer есть опция, проверять действительность сертификата издателя (как-то так). И если там указано, что проверять не надо, то OCSP-запросы посылаться не будут при автоматической проверке. Но, конечно, можно послать OCSP-запрос явно.
OCSP-ответы также кешируются.
Очистить кеш можно аналогично кешу CRL:
certutil -urlcache ocsp delete
