Hallo Jochen,
hier leider nur eine kurze Antwort, da ich unterwegs bin: Das von dir beschriebene Szenario trifft nur zu, wenn der Hoster OCSP („Zertifikat-Stapling“) anbietet. Das ist aber unter deutschen Hostern immer noch die Ausnahme. In allen anderen Fällen prüft der Browser das Zertifikat durch eine Anfrage bei der CA. Und diese Nachfrage wird letztendlich durch die Website verursacht, eben weil Sie kein OCSP anbietet.
Das ist natürlich nicht so schlimm wie viele andere Sammelszenarien, aber wir haben auch keine Garantie, dass das immer so unproblematisch bleibt. Und ein derzeit unerlaubter Datentransfer in die USA ist es allemal.
Aber wie auch immer: ich will hier keine schlafenden Hunde wecken, sondern nur dafür sensibilisieren, dass es noch viele „unentdeckte“ Baustellen gibt und sich kein Website-Betreiber zu sicher sein sollte.