Augmenter le nombre de connexions chiffrées rendant ainsi plus difficile l'analyse statistique des communications.
Si tout ce qui sort de ta machine est du TLS, on ne peut pas déduire quand tu fais quelque chose de sensible.

En prime, cela permet d'augmenter le cout des DPI

Je viens de faire le test depuis mon domicile avec Ubuntu 12.04 + Chromium 18 => OK (https et cadenas vert)
Avec Ubuntu 12.04 + Firefox 13 (installation par défaut sans modifier les certificats) j'ai le message "Cette connexion n'est pas certifiée"

Pas sûr que le problème vienne du certificat (qui est accepté sans broncher chez moi par Iceweasel [la version totalement libre de Firefox utilisée dans Debian] 10).

Le souci pourrait aussi provenir de l'activation par défaut de SPDY dans Firefox 13.
Vérifiable en le désactivant (about:config => network.http.spdy.enabled = false).

Ceci dit, c'est un certificat qui s'appuie sur AddTrust, quii a aussi un passé sulfureux.
Possible que Mozilla (qui s'était fait hacker son certificat addons.mozilla.org l'an dernier) ait purement et simplement décidé de faire le ménage ...

Le souci pourrait aussi provenir de l'activation par défaut de SPDY dans Firefox 13.
Vérifiable en le désactivant (about:config => network.http.spdy.enabled = false).

J'ai testé en le désactivant : idem
Autre PC avec la même configuration (Ubuntu 12.04 et Firefox 13) : pas de souci

J'ai supprimé mon dossier avec les préférences de mozilla (c'est un firefox qui a subit les différentes mises a jour depuis la version 3.6, le dossier .mozilla faisait 500 Mo !) et cela fonctionne maintenant.

En cherchant un peu, j'ai trouvé des certificats gratuits qui semble fonctionner dans la plupart des navigateurs : Que pensez-vous de StartCom ?
=> http://cert.startcom.org/?lang=fr

Que pensez-vous de StartCom ?
=> http://cert.startcom.org/?lang=fr

C'est Eddy Nigg qui a déclenché le 1er scandale COMODO en dénonçant publiquement un revendeur véreux. Ce qui n'était pas évident : en dénonçant un concurrent pourri, il prenait le risque de dégrader l'image de l'ensemble des tiers de confiance. Dans ce genre de business personne n'aime critiquer ses concurrents et surtout confrères. C'est un bon point pour StartCom.

Eddy Nigg a aussi abondamment critiqué les mauvaises pratiques des CA, comme de décerner des certificats officiels (liés à une racine officielle) pour des domaines qui n'existent pas ou des adresses IP, deux choses qui ne peuvent jamais "appartenir" à un demandeur. Si un CA veut certifier toto.local, il peut le faire, mais avec un certificat qui n'est pas officiellement accepté par un navigateur.

En fournissant des certificats gratuits, Eddy Nigg s'est attiré les foudres des pères la vertu, croyants du Dieu $$$, qui expliquaient que cela encouragerait le phishing. Il leur a tenu tête. Au dernières nouvelles le phishing se porte bien, il n'a pas besoin de certificats gratuits ou payants (les utilisateurs qui se sont avoir par ces arnaques basiques ne vérifient généralement pas s'ils vont sur un site avec un certificat TLS correct).

Eddy Nigg n'est pas un révolutionnaire (il ne veut pas abolir les CA), mais il parait être quelqu'un qui fait bouger les choses plutôt dans la bonne direction dans le monde très opaque de CA, à partir de là il m'inspire plutôt confiance.

Le wildcard c'est bien pour certifier les sous-domaines du type "toto.lafibre.info" ?