(Ceci est une nouvelle réponse à une vieille question car je pense que cela aide à comprendre qu'il n'y a pas de "magie" derrière les certificats et l'autorité de certification)
Dans le prolongement de la réponse approuvée donnée par @Steffen Ullrich
Le certificat complet pour identifier les sites Web n'est qu'une affaire d'argent. Les certificats X509 sont définis (entre autres) par RFC5280 et n'importe qui peut être une autorité de certification racine ou une autorité de certification intermédiaire, tout dépend de la confiance que vous avez envers cette entité.
Par exemple: si vous êtes dans un domaine Active Directory, votre contrôleur de domaine principal est une autorité de certification racine approuvée par défaut. Pendant ce temps, aucun autre tiers n'est impliqué.
Sur le large Internet, l'enjeu est d'identifier "à qui vous pouvez faire confiance" car il est bien plus grand qu'une seule entreprise. Et par conséquent, les fournisseurs de navigateurs fournissent une liste arbitraire personnalisée d'autorité de certification racine à laquelle il fera confiance sans demander votre consentement.
C'est-à-dire: si vous avez une très bonne relation avec la fondation Mozilla, votre propre autorité de certification racine arbitraire auto-signée pourrait être ajoutée à cette liste dans la prochaine version de leur navigateur Firefox ... Tout simplement parce qu'ils l'ont décidé!
De plus, il n'y a pas de RFC qui définissent le comportement et les règles sur le comportement des navigateurs concernant les certificats. Il s'agit d'un consensus implicite que parce que le "CN" du certificat est égal au nom de domaine, il est censé correspondre.
Parce que cela n'était pas suffisant à un moment donné, les fournisseurs de navigateurs ont tous implicitement considéré qu'un certificat générique du formulaire *.domain.com
correspondrait à n'importe quel sous-domaine. Mais cela ne correspond qu'à un seul niveau: non, sub.sub.domain.com
pourquoi? Parce qu'ils l'ont décidé.
Maintenant, à propos de votre question initiale, qu'est-ce qui empêcherait que votre certificat de domaine principal soit autorisé à créer des sous-certificats pour vos propres sous-domaines, c'est un processus facile à vérifier par le navigateur, obtenant simplement la chaîne de certificats.
La réponse est: rien
(sauf que techniquement, vous devriez avoir un "drapeau" dans votre propre certificat de domaine pour le faire)
Les vendeurs de broswers, s'ils trouvent cela assez pratique, peuvent décider de l'appuyer.
Cependant, revenons à ma première déclaration, c'est une grosse affaire d'argent. Ainsi, les quelques autorités de certification racine qui ont des accords avec les fournisseurs de navigateurs dépensent des sommes importantes pour figurer dans cette liste. Et aujourd'hui, ils récupèrent cet argent parce que vous devez payer pour chaque certificat de sous-domaine individuel ou obtenir un caractère générique qui est beaucoup plus cher. S'ils vous permettaient de créer vos propres certificats de sous-domaine, cela réduirait considérablement leurs bénéfices. C'est pourquoi à partir d'aujourd'hui, vous ne pouvez pas le faire.
Eh bien, vous pouvez toujours, car il s'agirait strictement de certificats x509 valides, mais aucun navigateur ne le reconnaîtrait.