Elvileg erre való lenne az OCSP - eddig alig két-három dolgot láttam ezt implementálni.
De igen, pont emiatt szokták köpködni azokat, akik régi Javát, stb használnak, mert annak a truststore-ja nem fog automágikusan frissülni. Részben ezért is jön folyamatosan ki a 8-as Javából új build, két dolog frissül benne biztosan, a cacerts store és a timezone adatbázis.
OS szinten egyébként láttam már tinkereléseket ezzel, hogy a java certstore-t az OS-é alapján rakják össze egy csomagkezelői hookkal. De ez se standard megoldás, és megvannak a maga hátulütői.