Certificate Transparency Log search engine (https://en.wikipedia.org/wiki/Certificate_Transparency)

the last step of the validation process is where you can modify the email address and replace it with any regular email address (Highlighted in yellow) since it lacks a proper input validation.

Normalement on est limité à 3 emails (postmaster, hostmaster, webmaster) dont le domaine est celui à valider.
Il s'agit ici d'un hack tout con puisqu'il suffit de forger la requête http avec l'email de notre choix. Sauf que cela permet à n'importe qui de créer un certificat tls pour un domaine qu'on ne possède pas.

Ne jamais faire confiance aux données que les utilisateurs peuvent rentrer dans votre application: https://www.owasp.org/index.php/Don't_trust_user_input
C'est le b.a.-ba de la sécurité.

Comme dit dans cette doc, on peut passer à sha-2 tout en assurant une rétro-compatibilité avec sha-1 en ajoutant un certificat cross-signed (sha-1 et sha-256) dans le CHAIN.

Mais au vue de la matrice de compatibilité OS/navigateur https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility, je me dis que ça ne vaut pas trop la peine de se faire chier.

Certificat x509 gratuit pour site web ou email (S/MIME).
Pas de wildcard.
Signé par WoSign CA, une autorité de certification chinoise.

Avantage par rapport à startssl: la durée (3ans max).

Le site est victime de son succès à l'heure où j'écris mais j'ai tout de même réussi à obtenir un certificat pour searx.jeekajoo.eu.

Voila voila, en attendant https://letsencrypt.org/ (ou plutôt DANE, à mort les CA!).

un outil graphique pour créer une CA afin de signer du certif x509