У меня немного странный вопрос, но не могу понять Почему нужно подписывать список отозванных сертификатов?

Ответ в принципе довольно очевиден. СОС должен быть подписан удостоверяющим центром чтобы гарантировать его целостность, неизменность и подлинность, а также подтвердить время его издания при помощи метки времени. Например, если какой-то отозванный сертификат будет изъят злоумышленником (или вредоносным ПО) из СОС, при проверке подписи окажется, что она валидна. Если СОС будет подписан, то проверка подписи СОС обнаружит эту проблему.