Pensei que valeria a pena relatar minhas descobertas.
Acontece que o Windows estava revogando os certificados, mas havia algum cache local da CRL ocorrendo como é planejado por design. Parece que, mesmo quando o certificado está sendo revogado, uma cópia em cache ainda é usada, até que um período específico tenha passado. No entanto, pelo que entendi, os dois comandos que eu executei no meu post inicial deveriam ter expirado e solicitado um up-to -data um do servidor, mas não parece ser o caso.
Eu introduzi as CRLs delta que fizeram com que a solução de problemas fosse mais rápida e tudo parece bem agora, então, em última análise, é um alarme falso.
Obrigado pelo seu conselho Greg