Prima di tutto, questo è diverso per ogni CA. Secondo uno specialista del supporto tecnico all'indirizzo GlobalSign :
GlobalSign does not revoke certificate without the permission of the owner. [...] For phishing sites, our vetting team will perform security checks on the domain prior to issuance.
D'altra parte, DigiCert ha alcune altre regole:
DigiCert revokes certificates for the reasons stated in the DigiCert CPS, including the following:
[...]
DigiCert obtains evidence that the certificate was misused;
DigiCert is made aware that a subscriber has violated one or more of its material obligations under its agreement with DigiCert;
A third party provides information that leads the DigiCert to believe that the code signing certificate is compromised or is being used for suspect code;
Inoltre, un certificato ha lo scopo di indicare che sei veramente connesso al sito giusto. Non dà un giudizio sul contenuto o sulla qualità del sito. Un certificato per fake-paypal.com è valido e corretto se sei realmente connesso a fake-paypal.com, anche se quel sito impersona il vero PayPal.
Modifica: DigiCert revoca i certificati che sono stati "usati in modo improprio", ma ciò che significa esattamente è aperto all'interpretazione. Penso che usare un certificato per un attacco man-in-the-middle sia assolutamente improprio, ma non sono sicuro di usarlo su un sito di phishing.