Penso ci siano un paio di idee sbagliate.
Prima di tutto, i browser richiedono e controllano il certificato al volo. Non lo memorizzano. Questo può essere fatto manualmente, ma non è né comune né utile nei casi standard.
Se qualcuno è riuscito ad ottenere il tuo certificato e la corrispondente chiave privata, ora "possiede" un certificato perfettamente valido per il tuo sito e può utilizzarlo ogni volta che lo desidera. Non importa se hai utilizzato il certificato solo per i test e hai intenzione di acquistarne uno nuovo. I browser non ne sono a conoscenza. Accetteranno entrambi i certificati - beh, a meno che il tuo CA non revochi esplicitamente il vecchio.
Quindi l'acquisto di un nuovo certificato non risolve il problema. Non cambia il fatto che esiste un certificato potenzialmente compromesso che potrebbe essere usato per un attacco man-in-the-middle contro il sito.
È certamente fastidioso pagare soldi extra per la revoca, ma non c'è davvero un'altra opzione. Dovresti scegliere un CA più giusto la prossima volta, però. ; -)