O IE depende do CryptoAPI para executar qualquer tarefa de verificação de revogação / status do certificado, então as chances são:
- um certificado SSL foi apresentado ao navegador
- isso foi validado usando a cadeia de CDPs listados por esse certificado e quaisquer CDPs da CA (Pontos de distribuição da CRL - URLs dos quais as CRLs estão disponíveis) na cadeia de certificados que foram emitidos
- uma versão válida da CRL para um certificado em sua cadeia de publicação não foi armazenada em cache localmente
E o mecanismo de encadeamento do CryptoAPI decidiu que precisava de informações mais recentes sobre se um desses certificados foi revogado recentemente ou não.
Qualquer operação em um certificado pode causar recuperação de CRL ou verificação baseada em OCSP; O Windows armazenará em cache a resposta da CRL para seu período de validade (ou uma resposta do OCSP conforme especificado por seu cabeçalho HTTP max-age), o que pode explicar por que você a vê de vez em quando, mas não regularmente / com freqüência.
Para "percorrer a cadeia" de CDPs, abra o certificado e vá para a guia Caminho de certificação - isso mostra a hierarquia das CAs que produziram o certificado. Abra cada um deles e examine sua guia Detalhes - os locais da CRL em cada nível são o que o cliente precisa verificar e armazenar em cache para confiar totalmente no certificado (a raiz emissora deve ser confiável por sua máquina para qualquer coisa na cadeia para o trabalho); se o OCSP estiver ativado, as extensões AIA também são importantes.
Como alternativa, salve o certificado em um arquivo .CER e execute o sempre hilariante
CERTUTIL -verify -urlfetch mycert.cer
comando para ver o mecanismo de encadeamento em ação.