1) Да, все верно, но криптопровайдер нужен не только для работы с OCSP и TimeStamp.
Он в первую очередь нужен для формирования и проверки подписи.
2) Обычно проверка подписи пользователя происходит на стороне сервера. Но на стороне сервера как правило не используют апплет, а подключают библиотеку криптопровайдера и работают с API JCE.
3) В новом НУЦ цепочка доверия будет следующая КУЦ->НУЦ->Пользователь.
Что касается проверки подписи, то необходимо проверять все сертификаты в цепочке доверия. Реализация у всех разная. Для проверки цепочки можно и использовать сам файл сертификата, не обязательно использовать jks. Если же вы имеете в виду только аутентификацию, то да, в таком случае в JKS необходимо поместить корневой сертификат КУЦ и промежуточный сертификата НУЦ.
4) Здесь все просто - вы проверяете срок действия каждого сертификата в цепочке доверия и если обнаруживаете, что какой-то из них просрочен, то вы принимаете соответствующее решение доверять такой подписи или нет. Обычно таким подписям с просроченным сертификатом не доверяют.