¿Tiene sentido que OCSP devuelva el estado para el propio CA firmante?

No, en ninguna de las normas que puedo recordar (contribuí a 2560 y soy autor de 5019) dice que no puede responder las respuestas por sí mismo, lo que se dice al hacerlo es inútil, ya que no puede confiar en el respuesta en ese escenario.

¿Estás seguro de que eso es lo que estás viendo? recuerde que OCSP "bueno" no significa que emitido significa "no revocado".

Si le hace una pregunta fuera del alcance a un respondedor, puede volver "bueno" incluso si el certificado nunca se emitió. Una teoría acerca de por qué está viendo lo que describe es que le está pidiendo al respondedor de ocsp el código de emisión que utiliza una herramienta de prueba, aunque ningún cliente debería hacer esa pregunta.

También en teoría, en este caso, se esperaría que el propio certificado de emisión de CA contenga una referencia aia: ocsp: url pero a un respondedor ocsp diferente.

De todos modos, lo que está viendo no es correcto, tal como lo señala, espero que sea un problema con la prueba; de lo contrario, le notificaré al operador del respondedor para que compruebe su conformidad e interoperabilidad rfc, ya que es probable que haya otros problemas también si este es el caso.

Creo que la lógica tiene una falla relacionada con quién proporciona el servicio OCSP, es decir, la única CA. El URI del servicio OCSP se proporciona como parte del proceso de certificado y es mantenido por la CA. Para que su sugerencia funcione, la CA necesitaría gastar dinero en efectivo para respaldar un servicio de OCSP para decirle al mundo que no es una CA válida.

Las fuerzas del mercado sugieren que esto nunca sucederá. Las mismas fuerzas del mercado que probablemente motivaron a la AC a ingresar al negocio y luego a tomar atajos, lo que resultó en la necesidad de revocar esa CA.