Mais pesquisas revelaram que os certificados EFS continuarão a ler qualquer arquivo criptografado, desde que o usuário tenha o certificado ... mesmo que os certificados sejam revogados e a CA seja desativada .
O que os usuários não podem fazer após a revogação dos certificados é (re) criptografar todos os arquivos ... o que não queremos que eles façam de qualquer maneira.
Portanto, não precisei usar a assinatura de CRL ou qualquer outra tática para manter a CA antiga em suporte vital; agora está totalmente descomissionado e os usuários (e quaisquer arquivos que possam ter criptografado antes) estão intactos.
(P.S. Eventualmente, posso ter um problema se essas contas de usuário precisarem ser migradas para outro domínio na floresta, já que os certificados antigos do EFS podem não ser migrados ...)