На самом деле тема еще сложнее, дополню еще пару фактов.
1) в случае если сертификат корневого УЦ скомпрометирован до окончания срока действия, его невозможно отозвать. Сам себя отозвать он не сможет (так как список отзыва станет недействительным), а выше него нет УЦ. В Windows это решается двумя способами: есть список запрещенных корневых сертификатов и можно просто удалить корневой из списка доверенных. windows с определенным обновлением следит за установкой-удалением корневых сертификатов автоматически, что с одной стороны хорошо - скомпромитированные сертификаты зарубежных УЦ автоматически устанавливаются и удаляются; с другой стороны плохо - теоретически могут так же автоматом поставиться сертификаты зарубежных спецслужб и станет возможна подмена любого сайта. Еще один минус в том что автоустановка никак не распространяется на сертификаты гост и если какое-то отечественное ведомство сначала выпустит корневой сертификат мимо Минкомсвязи, разошлет пользователя (как сейчас егиссо и множество тестовых сертификатов разных ведомств), то в случае компрометации такого самодельного корневого сертификата он все равно останется на рабочих местах пользователей пока пользователи не удалят его вручную.
2) Майкрософт ввела для сертификатов выданных на УЦ Майкрософт (доменном УЦ в Windows, например) дополнительные поля (отпечаток предыдущего сертификата ЦС и номер версии ЦС), теоретически они должны позволять подхватывать дочерние сертификаты при смене ключа корневого сертификата. Минкомсвязь и некоторые аккредитованные УЦ активно используют поле номера версии, но пока не видел ни одного сертификата аккредитованного УЦ с указанным и работающим отпечатком предыдущего сертификата. Таким образом, хорошая задумка на деле не работает для сертификатов гост.