To je blbost. Privátní klíč se serveru neposílá, jen se jím provede podpis pro autentizaci uživatele.
No mnoho CA generuje klíče v prohlížeči. Je možné, že někteří dokonce na své straně. Je to jakási úlitba adminům, kteří si klíč vygenerovat a odeslat ho s CSR neumějí. Pak už je jen krok k úvaze archivovat i klíče.
Samozřejmě máte pravdu, klíč odesílat nikam ven NENÍ potřeba.