1) Скорее всего, серверный сертификат содержит всякие корявые ссылки, которые просто не позволяют вам ни нормально скачать CA(корневой), ни CRL. Посмотреть серверный сертификат не могу, т.к. у меня нет под рукой КриптоПро.
Тут решение может быть в том, чтобы где-то их найти и поставить локально (будет работать пока они не протухнут). CA обычно имеет срок действия несколько лет, CRL несколько дней или часов.
Либо не проверять совсем, либо можно ValidateServerCertificate переопределить чтобы он всегда возвращал true, и самому проверить отпечаток сертификата.
2) А зачем все так сложно то? Вроде там API требует обычный HTTP POST. Есть же более удобные абстракции, типа HttpWebRequest.
3) Ну и на крайняк, есть люди, которые уже собаку съели на взаимодействии с гос-органами.
https://zakupki.kontur.ru