Como você estruturou suas CAs, uma única CA ou muitas CAs? Com que rapidez você precisa de certificados para serem revogados? Como você está usando os certificados?
Se você estiver usando o certificado para autenticação do AD, no caso de uma emergência grave, poderá desativar a conta temporariamente se achar que um certificado dessa conta foi comprometido.
Se você tiver uma autoridade de certificação off-line autônoma que emite apenas certificados para uma autoridade de certificação subordinada, o período de publicação para ela provavelmente será muito longo. Você quer um tempo maior para não precisar fazer um grande esforço para inicializar o servidor offline para publicar uma CRL com frequência. Você pode escolher um período mais longo.
Se você estiver falando sobre a CA que está on-line e ativamente emitindo certificados, eu iria com um período mais curto. Você não quer ir a um período de validade menor do que o necessário para a replicação completa do seu AD, e você não quer ser mais curto do que o tempo necessário para reconstruir / restaurar sua autoridade de certificação se o hardware falhar.
Depende muito das suas necessidades exatas. Se você puder automatizar a publicação da CRL e suas CAs forem confiáveis, um período mais curto tornará muito menos provável que um certificado revogado possa ser usado.
Se você ainda não leu, consulte estes artigos da Microsoft.