No pude encontrar en ninguna parte de las RFC qué métodos HTTP deben ser compatibles con las CA correspondientes para permitir que los usuarios descarguen CRL.
¿Cuáles son los métodos HTTP obligatorios (GET, HEAD, ...) para CRL?
RFC (para ser precisamente, RFC5280) no define los protocolos necesarios para que CA los admita para la descarga de CRL / CRT. Debe definirse de forma compatible con el cliente y el servidor. Por lo tanto, HTTP no es obligatorio (aunque, recomendado) en absoluto. Los principales clientes de cifrado (incluido CryptoAPI) utilizan el método GET para recuperar archivos CRL / CRT.
Lea otras preguntas en las etiquetas public-key-infrastructure http crl