Здравствуйте, fortnum, Вы писали:

F>Похоже, причину надо искать в чем-то еще, а не в самих сертификатах или в хранилищах.

Кажется, нашел! Дело в штуке, которая называется Certificates Trust List (CTL). Пока еще не вникал, что это за зверь. Лишь здесь поиском по аргументу sslctlidentifier у netsh http нашел нижеследующее (но уже почти уверен, что проблема в этом):

One would assume that Certificate Trust List (CTL) will limit the list of Trusted Certificate Authorities (CA's) being sent to the client during the initial SSL handshake. However, IIS 6.0/7.0 using CTL's you cannot limit the list of CA's sent back to the client during the SSL/TLS handshake. That means you can't use CTL's to limit the list of certificates that Internet Explorer is showing. IE will show all the certificates irrespective of whether the issuing CA is a part of the CTL or not.