Вы все абсолютно правильно пишите. Но:

1) я вам привел пример сценария, в котором вот вы что-то подписали после отзыва сертификата. Подпись успешно создадлась. Но сертификат уже был отозван. После истечения срока действия сертификата вам же нужно каким-то образом доказать, что на момент подписи сертификат был действителен. Для этого вам нужны, в лучшем случае, все СОСы, которые были выпущены в период действия сертификата;

2) Верно! Вам для проверки ЭП после истечения срока действия сертификата нужно, в лучшем случае, хранить все СОСы, чтобы доказать, что сертификат в момент подписи был действителен;

3) Я вас прекрасно понимаю, но:
3.1) где гарантия, что любой OCSP сервер выдаст реальный статус сертиификата, а не по последнему выпущенному CRL?
3.2) где гарантия того, что любой TSP сервер умеет делать OCSP запросы и проверять ответы?

Скорее всего исходя из всех этих причин мы видим то, что видим. КриптоПро, скорее всего, попытались сделать универсальное решение. И самое главное. Не забывайте, что КриптоПро разрабатвают продукты с "оглядкой" на регулятора. Я думаю, что существующие "ограничения" - далеко не хотелка КриптоПро.

Отредактировано пользователем 19 сентября 2023 г. 9:46:10(UTC)  | Причина: Не указана