Ah bon ? Serais-tu en capacité de te faire délivrer un certificat si tu n’est pas propriétaire du domaine ? (Valide bien entendu)

Orange relie 64 Clients sur l'arbre PON (au maximum, toutes les positions ne sont pas forcément utiliser en permanence).
L'arbre GPON dispose de 2,5 GBits down et 1,25 Up. Ce débit est partagé entre tous les clients. Après la probabilité que tous les clients "tire" sur la connexion à la même seconde est faible donc c'est pour çà que globalement chacun a le débit souscrit.
Après à l'instant t, tu peux très bien télécharger à 1 Gbits sur 2 ports ethernet de ta livebox sans que ça sature.

Je précise que c'est pareil chez les autres opérateurs. Il y a de la contention sur les arbres PON ET sur la collecte du NRO. Mais c'est comme pour tous les réseaux (électricité, eau, ...) Si tout le monde consomme au max à la même seconde, beh c'est saturé.

alors moi non, bien évidement. mais dans la mesure ou n'importe qui peut générer lui même un certificat, et avec l'imagination sans limite des hackers chinois/russes/koréens on n'est à l'abris de rien.
Mozilla il y a quelques années c'était fait volé ses clé SSL, et avait gardé cela secret.
et google : https://www.lemondeinformatique.fr/actualites/lire-un-certificat-ssl-vole-vise-google-34512.html
Même chez les autorités de certifications les certificats se volent : https://www.clubic.com/antivirus-securite-informatique/actualite-444400-vols-certificats-ssl-experts-tirent-sonette-alarme.html

il ne faut pas non plus vivre dans la paranoia, mais on voit bien qu'on ne peut pas avoir une confiance aveugle, à 100%, de l'usage des certificats. C'est pour ca que de mon point de vue, l'utilisation du https sur un site web ca ne va pas plus loin que chiffrer les échanges entre client/serveur.

mes règle devraient plutôt refuser tout traffic invité

OK, donc isolé du réseau local et du web, si on tient compte de ta volonté