Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?

oui mais "pointer" de leur coté (leur résolution DNS a eux donc) donc pas simple à  faire...

Les tutoriels sont toujours très simples.

Ce que je ne comprends pas, c'est comment Let's Encrypt vérifie que je suis bien le propriétaire du nom de domaine ?

Comme la plupart des certificats DV, c'est assez léger!

Enfin si c'est clairement documenté, on ne peut pas venir se plaindre des années après la publication des procédures que c'est trop léger! On accepte ou pas à la lecture de la documentation fournie de considérer l'intégration d'un certificat racine. Je crois l'avoir déjà dit!

J'en ai assez des gens qui font semblant de ne pas avoir été averti de la qualité du produit, quand l'information était facilement accessible depuis des années (pareil pour les vaccins, pareil pour le GIEC).

C'est le rôle d'une autorité de certification. Pour les certificats EV (barre d'adresse verte) c'est complexe mais pour un certificat de base, il y a noralement au moins vérification que l'utilisateur est bien celui qui a enregistré le nom de domaine, via une simple vérification mail.
Pour mon certificat actuel avec une willcard, j'ai du envoyer à StartCom un scan de ma pièce d'identité + passeport + facture de téléphone et répondre à un appel téléphonique où on me pose quelques questions comme ma date de naissance.

Mais c'est une demande parfaitement arbitraire d'une société qui a fixé un niveau de sécurité supérieur quand le risque d'abus (évalué par eux) est supérieur (ex. mabanque.lafibre.fr, google.lafibre.fr, etc.).

Autrement dit, au delà des strictes obligations réglementaires, des gérants de sociétés peuvent soit penser qu'ils ont une rôle social pour préserver la sécurité des gens, au delà du strict rôle de TLS, en décourageant certaines tentative d’hameçonnage (s'il faut donner une identité réelle vérifiée pour monter une escroquerie c'est moins facile que s'il suffit de donner des coordonnées bancaires volées), ou bien ils peuvent penser qu'il vaut mieux que les utilisateurs des certificats et les clients pensent qu'ils pensent qu'ils doivent avoir un tel rôle social, ou bien penser qu'il faut que les gens le pensent, etc.

Si j'ai un fichier de configuration avec le nom de domaine microsoft.fr, Let's Encrypt m’envoie automatiquement le certificat pour le domaine microsoft.fr, sous réserve que j'arrive à faire pointer le DNS sur mon serveur ?

Ou pas, selon les listes noires implèmentées.

Tu auras plus de chance de récupérer banquefrançaisetrèsobscure.fr que google.fr même en piratant le registre.

oui mais "pointer" de leur coté (leur résolution DNS a eux donc) donc pas simple à  faire...

Pour un quidam ce n'est pas simple, mais pour quelqu'un qui a la main sur des serveurs BGP importants, si, c'est assez facile.

Détectable mais facile.

Conséquence du blacklistage sur les navigateurs, la société StartCom va cesser ses services d'Autorité de Confiance à partir de janvier prochain.

Reçu il y a quelques heures par mail :

Dear customer,

As you are surely aware, the browser makers distrusted StartCom around a year ago and therefore all the end entity certificates newly issued by StartCom are not trusted by default in browsers.

The browsers imposed some conditions in order for the certificates to be re-accepted. While StartCom believes that these conditions have been met, it appears there are still certain difficulties forthcoming. Considering this situation, the owners of StartCom have decided to terminate the company as a Certification Authority as mentioned in Startcom´s website.

StartCom will stop issuing new certificates starting from January 1st, 2018 and will provide only CRL and OCSP services for two more years.

StartCom would like to thank you for your support during this difficult time.

StartCom is contacting some other CAs to provide you with the certificates needed. In case you don´t want us to provide you an alternative, please, contact us at certmaster@startcomca.com

Please let us know if you need any further assistance with the transition process. We deeply apologize for any inconveniences that this may cause.

Best regards,

StartCom Certification Authority