Ну вот спецы из КриптоПРО как раз и утверждают, что OCSP-ответ должен быть получен от издателя. Этот ответ меня интерсует с точки зрения предъявления его в суде. И еще я считаю, что сертификат OCSP-службы должен иметь срок действия не меньше, чем корневой.

1. Я говорил (точнее вы сами говорили) не про корректность сертификата а про хэш от него. Чтобы вычислить этот хэшь , на вашем рабочем месте доверенным образом должно находится (в общем случае) более 340 самоподписанных сертификатов из разных городов и частей РФ, причем этот список должен быть актуальным - это фактически не решаемая задача для обычного юзера.
2. Мы говорим о разном, какой вы рассматриваете случай я не понял, я лишь сказал, что пользователь (опять же в общем случае) должен иметь возможность проверять ЭЦП из-под ВСЕХ аккредитованных УЦ, которых явно больше 10. Т.е. OCSP протокол как таковой не для себя любимого.
4. Возвращаемся к исходному вопросу, каким образом вы обеспечите "валидность сертификата самого OCSP сервера" все равно за какой промежуток времени если у вас вставлен в сертификат флаг "но-чек"? Т.е. вы его не проверяете, не строите к нему цепочку сертификации от самоподписанного? Единственное что остается - это доверенное получение (ровно как распространяются самоподписанные сертификаты , которые то же не проверяются локально). Проверять локально можно всё что угодно, но если стоит "но чек" то вы НЕОБЯЗАНЫ это делать. И ещё, мое личное мнение, у меня большие сомнения что OCSP формально подкладывается под 63-ФЗ, закон говорит про обязанность "доступа к реестру" УЦ, а не к выписке из этого реестра, которой является OCSP-квиток, такую форму придется по-любому оборачивать Регламентом и Соглашением, т.е. это не общий способ по умолчанию. Тем не менее ровно тех же результатов "получение мгновенного ответа о "валидности" определённого сертификата" можно получить связкой CRL+deltaCRL, процедура работы с которыми явно прописана и лишина множества недостаказнностей и ограничений в случае работы через OCSP. Но в очередной раз повторю, каждая конкретная задачка имеет кокретное решение, как у себя сделаете, как пропишите в регламентах, как пропишите в стандарте предприятия, так оно и будет, только про безопасность не забудте.

1) Я же сказал "при желании это достаточно просто обеспечить". Если задача в принципе решаема (а она решаема), то любой "обычный юзер" при желании сможет её решить;
2) Если уж говорить про проверку ЭЦП, то подписи CAdES при желании можно создать таким образом, что её можно будет проверить после аннигиляции всех этих 340 УЦ, без наличия их сертификатов;
3) В теории возможно применение нового сертификата OCSP сервера на каждый OCSP ответ - работа сервиса будет корректной даже в этом случае. То есть OCSP сервер гарантирует, что его ответ (вместе с сертификатом OCSP сервера) будет валиден только в определённый промежуток времени. Доверять этому или нет - ваше дело. Насчет использования CRL - сервис OCSP кроме проверки статуса сертификата также возвращает и корректное время проведения проверки, что в случае работы с CRL будет затруднительно обеспечить;

Я считаю, что вы пытаетесь "очернить" идею использования CAdES в угоду своим бизнес-интересам. Однако я считаю, что использование CAdES перспективно и поэтому привожу аргументы в пользу применения именно CAdES и всех используемых в CAdES сервисов. Надеюсь, что я полно обозначил свою позицию.

Елена, спасибо за исчерпывающий профессиональный ответ.