背景： 正如在这个谷歌公司博客上解释的那样，谷歌写道：

9 月 14 日，格林威治标准时间 19:20 左右，赛门铁克的 Thawte 品牌 CA 为域 google.com 和 www.google.com 颁发了扩展验证 (EV) 预证书。Google 既未要求也未授权此预认证。

根据这个较新的谷歌博客条目，假证书的问题似乎更加严重：

赛门铁克进行了另一次审计，并于 10 月 12 日宣布，他们在 76 个域中发现了额外的 164 个证书，并为从未注册的域颁发了 2,458 个证书。

很明显，CA 会遇到这样一个长期存在的问题，并且在收到警告并进行审计后，他们将无法评估其范围。

在那个较新的博客条目中，谷歌表示他们正在向赛门铁克索取更多信息，说明这可能是如何发生的。

然而 ，在他们的官方报告中，赛门铁克似乎在淡化创建这些证书的严重性。在“附录 - 2015 年 10 月 12 日”部分（从第 4 页开始），公司将这些称为“测试”证书（强调我的）：

2015 年 10 月 8 日，在行业合作伙伴提出后续问题后，我们重新开始调查，并确定了一组 未包含在我们原始分析中的测试证书。

虽然我们目前的调查仍在进行中，但到目前为止，我们已经发现了 164 起不恰当地颁发了测试证书的额外实例。所有这些测试证书都已被吊销。这些测试 证书分布在我们正在联系的 76 个域所有者中。

在页。报告的第 2 段（在添加此附录部分之前），赛门铁克表示：

最重要的是，这些测试证书从未对任何人或任何组织构成风险，因为这些证书从未离开赛门铁克的安全 测试实验室或 QA 测试机器，并且任何最终用户都无法看到它们。[...] 这些带有 CN=www.google.com 的测试证书之一是扩展验证 (EV) 测试证书，并记录到公共证书透明度 (CT) 日志服务器，这是默认情况下颁发的 EV 证书的标准做法由 CA。登录到 CT 服务器并没有以任何方式使测试证书可用——它只能被 CT 监视器检测到。

上面的解释似乎（？）阐明了如果他们从未离开赛门铁克测试实验室，谷歌如何能够（通过 CT 监视器）找到证书。

一方面，谷歌似乎对这一事件做出了很大的努力，而赛门铁克则表现得好像这只是一些“测试”。

然而，我想问的问题是关于赛门铁克报告第 2 页中的这一部分......

受这些测试证书影响的组织列表包括 Google、Opera和其他三 (3) 个未 请求或批准披露其域的组织。

...以及报告最后一页的这一部分：

我们已收到浏览器社区对证书详细信息的请求，因此他们可以相应地更新其黑名单。证书详细信息可在此处获取以供参考...

...之后报告提供了两个链接：

• “拥有域的测试证书列表”，和
• 《未注册域名测试证书清单》

我不确定，但似乎这 3 个“其他组织”不希望其域被公开的域不会在黑名单上。

问题是：

1. 如果这些“无害”证书从未离开赛门铁克测试实验室，为什么浏览器社区需要/想要一份黑名单？
2. 另一方面，如果这是一件更严重的事情，那么浏览器用户拥有受影响域的黑名单会很有帮助。在这种情况下，为什么 3 个组织不希望他们的域被公开？

（更新：重新编写了第二个问题，专门询问这 3 个组织可能不希望其域公开的原因。）