Использую линуксовую версию Криптопро 3.6.

CRL скачиваются с сайтов УЦ (по 2 CRL для каждого УЦ с разных адресов), потом устанавливаются командой:

./certmgr -inst -store CA -crl -file file.crl

Возникла ситуация, что в УЦ по одному из адресов скачивался просроченный CRL, а по другому нормальный.

Но так как оба файла устанавливались последовательно, и просроченный CRL ставился после действующего, то в результате в хранилище Криптопро оказался установленным именно просроченый. Возникла проблема с проверкой подписей.

Может быть в certmgr можно включить функцию проверки crl на просроченность перед установкой? Если нет, то такой функционал явно надо добавить. А лучше игнорировать установку crl, если в хранилище есть аналогичный crl с бо́льшим сроком действия.