Ce guide de l’Agence des systèmes d’information partagés en santé indique que « les bonnes pratiques de récupération des [listes de révocation des certificats] CRLs reposent sur les grands principes» de « limitation du téléchargement aux CRLs correspondant aux certificats susceptibles d’être acceptés par l’application ; fréquence de téléchargement des CRLs en rapport avec la fréquence de publication de celles-ci (c’est-à-dire une fois par jour pour des CRLs publiées quotidiennement) ; variabilité des horaires de téléchargement des CRLs lorsque celui-ci est automatisé (notamment pour que toutes les instances d’un même produit installé chez différents clients ne téléchargent pas les CRLs en même temps : prévoir par exemple un étalement de téléchargement « aléatoire » sur plusieurs heures) ; limitation des durées de connexion au temps nécessaire au téléchargement des CRLs (pas de maintien de session après un (ou une tentative de) téléchargement) ».