No, este no es el caso. Un certificado firmado por una CA solo contiene la clave pública, pero para descifrar también se necesita la clave privada. Esta clave privada no es necesaria para que la AC la firme, por lo que generalmente tampoco la tienen.
Pero, algunas CA ofrecen simplificar el proceso de generación de certificados generando también un par de claves para el certificado. En este caso, la CA conoce la clave privada al menos por un corto tiempo y el propietario del certificado debe confiar en que la CA olvidará la clave después de que el certificado haya descargado la clave y la clave. Esto es mucho más confiable que solo la firma de una CSR existente (que no contiene la clave privada).
Aparte de eso, incluso la clave privada no ayuda a descifrar simplemente el tráfico de rastreo si el intercambio de claves se realiza con Diffie-Hellmann (DHE, ECDHE). En este caso, el atacante necesitaría montar un verdadero ataque de intermediario para interceptar y modificar el tráfico de forma activa.
Lea otras preguntas en las etiquetas cryptography tls certificates certificate-authority sniffer