Сертификаты... или лыжи не едут⁠⁠

последние три года судьба наказывает меня работать с людьми, которые (мягко говоря) не полностью знают как работают сертификаты, TLS, IPsec и прочие сложные штучки. свежий пример, над которым никто не собирается работать последние шесть месяцев.

уровень 1: Root CA signed by Root CA (нормально), но отсуствуют поля CRL и OCSP

уровень 2: Level 2 Server CA signed by Root CA (нормально), поля CRL и OCSP присуствуют (уже хорошо), но... содержат URI:http://localhost:8080/

уровень 3: без разницы

по мелочам: URI OCSP второго сертификата содержит параметр "issuer=CN=Root%20CA"

вопрос для очистки кармы: как проверить отозван ли какой либо сертификат в цепи, или серверу можно доверять?