dreckhände

startssl /startcom machen das, für die domain und 1 host, also dreckhaen.de und www.dreckhaen.de
die eff und mozilla brüten einen neuen Service aus und dort nachlesend fand ich den Hinweis auf wosign.com als Quelle kostenloser SSL-Zertificate.

Ok, shishikan. (Mal ausprobieren: es ist ein chinesischer Anbieter).

Die Beschränkungen des Angebots sehen soweit recht verlockend aus, bitte je domain eine neue Zeile im Formular (hosts kommasepariert folgend), max 100 Domains. Laufzeit 1-3 Jahre nach Wunsch. Sha1/Sha2 zur Wahl, bequem und unsicher den Key generieren lassen oder eigenes Certificate Request mit Key einpasten, Domain-Validierung per HTML oder per Mail mit Token. Die Mail-Option ist nichts für Leute mit schwachem Herzen, was dann kommt isterstmal eine freundliche verständliche Textnachricht, knallt aber dennoch im Spamassassin 6.95 Punkte (was bei mir Quarantäne bedeutet). Whitelisting empfohlen, from=<autovalidation@wosign.com>.

Die Webseite macht etwas Stress mit einem Counter, der sekündlich von 60 runterzählt. Wenn man aber, wie ich, erstmal 10 min die Mail im Quarantäneordner suchen und entzippen muss, wird doch alles fein akzeptiert.

Eine Verwirrug bei dem Formular ist, ob man nun die Domain selbst immer vorne angeben muss oder ob es reicht, die Hosts einzutragen. In der ersten Zeile kann man sich die Domain sparen, in allen weiteren muss Sie mit dabei stehen.
Also:
www.beispiel.de, mail.beispiel.de
beispiel.at, www.beispiel.at, mail.beispiel.at
beispiel.ch, www.beispiel.ch,mail.beispiel.ch
macht ein Zertifikat, das für beispiel.de,beispiel.at und beispiel.ch mit je www. und mail. gültig ist.

Beispiel.de is i diesem Fall die Hauptdomain, alles adere steht in X509v3 Subject Alternative Name

Soweit so gut, nach einer Stunde kommt eine Mail mit einem Link, sich das Zertifikat (liebevoll in Versionen für Apache, Nginx,IIS und andere sortiert) als ZIP herunterzuladen. 
Diese Mail kommt From: "WoSign CMSmaster" <cmsmaster@wosign.com> und