Azt hiszem érdemes lenne kisebb arccal előadni magadat.
A publikus cert az publikus, nem nagyon kell semmitől védeni. A privát kulcsa egy certnek meg egy másik dolog, jól megkülönböztethető a certificatetől, szóval nyugodtan lehetne ahhoz kérni lock screent. Arról nem beszélve, hogy teljesen valid esetek vannak, amikor az ember akar telepíteni trusted CAt, és nem akar kliens certet kulcsostól. A szempontodból legjobb eset az, hogy a google mérnökei segghülyék és nem tudják a kettőt megkülönböztetni, vagy pongyolák, és elnagyolták. Ettől ez még mindig baromság lesz.
Én azért hajlanék a gyanúperre, hogy nem ez lesz az oka. Hanem pl az, hogy ne tudjon valaki a tudtod nélkül feltenni egy új trusted CAt, hogy aztán át tudjon verni. Persze ehhez érteni kellene a tanúsítványokhoz meg a felhasználásukhoz :) Mondjuk ez is egy elég fos módszer, de hát ez van :)