Le problème est aussi que pendant longtemps, on a éduqué les gens en leur disant Si y'a le cadenas vert, c'est bon !.
Clairement, l'effort d'éducation sur le phishing n'a pas encore été fait...
Personnellement, je ne pense pas que ce soit aux CA à faire le tri en profondeur : utiliser les API SafeBrowsing/SmartScreen pour éviter de délivrer des certificats à des domaines qui, de toute façon, seront blacklistés par les navigateurs me semble largement suffisant.