J'ai du me prendre un certificat avec un wildcard (*.nom de domaine) et celui qui le propose le moins cher, StartCom SSL demande à valider dans ce cas là au moins l'identité de la personne.
J'ai du fournir deux pièces d'identité (passeport + carte nationale d'identité) + ma facture de téléphone et j'ai reçu un coup de téléphone des USA pour me poser des questions supplèmentaires et vérifier que tout est cohérent, tout cela pour pouvoir mettre "Vivien GUEANT" dans le champ Organisation du certificat SSL :
Je comprends qu'ils le fassent.
Attention, je ne dis pas que c'est justifié d'un point de vue purement technique : on pourrait appliquer les mêmes principes à *.example.com qu'à example.com. Après tout, le DNS est hierarchique et donc si quelqu'un contrôle example.com il controle tous les X.example.com.
Mais il y a un effet psychologique : tu pourrais créer (toi ou n'importe qui ayant volé des identifiants ou ayant trompé le registre (*)) le site
https://credit-lyonnais.testdebit.info/ (pour voir les débits et les crédits sur son compte) ce qui serait un peu plus efficace pour les anarques que xvcszef.ksnrepof.ru
StartCom SSL tente d'éviter ce genre de choses en recherchant les noms de sociétés connues (connues où? par qui?) dans le FQDN, ce qu'il ne peut bien sûr pas faire avec un joker. Il se couvre donc en demandant une identité physique.
(*) Pirater un registre, quelle idée! Trop difficile? C'est ce que je pensais.
Mais ça, c'était avant!
L'ICANN victime d'un piratage, des données personnelles en fuite