En primer lugar, esto difiere para cada CA. Según un especialista de soporte técnico en GlobalSign :
GlobalSign no revoca el certificado sin el permiso del propietario. [...] Para los sitios de phishing, nuestro equipo de verificación realizará controles de seguridad en el dominio antes de la emisión.
Por otra parte, DigiCert tiene otras reglas:
DigiCert revoca los certificados por los motivos indicados en el CPS de DigiCert, incluidos los siguientes:
[...◆
-
DigiCert obtiene evidencia de que el certificado fue utilizado incorrectamente;
-
DigiCert tiene conocimiento de que un suscriptor ha violado una o más de sus obligaciones importantes en virtud de su acuerdo con DigiCert;
-
Un tercero proporciona información que hace que DigiCert crea que el certificado de firma de código está comprometido o se está utilizando para el código sospechoso;
Además, un certificado pretende indicar que realmente está conectado al sitio correcto. No da una opinión sobre el contenido o la calidad del sitio. Un certificado para fake-paypal.com es válido y correcto si está realmente conectado a fake-paypal.com, incluso si ese sitio se hace pasar por el verdadero PayPal.
Editar: DigiCert revoca certificados que han sido "mal utilizados", pero lo que esto significa exactamente está abierto a interpretación. Creo que usar un certificado para un ataque de hombre en medio es definitivamente un mal uso, pero no estoy seguro de usarlo en un sitio de phishing.