Nem trükk kérdése. A tanúsítvány kiadók cert-osztálytól függően sokszor csak azt ellenőrzik, hogy tied-e a domain. Anonim domaint tudsz regisztrálni az interneten bármiféle okirat nélkül, a domain postmaster@ vagy dnsadmin@ címre küldött ellenőrző leveleket ezek után megkapod és onnantól a domain tulajdonosának tekintenek, tehát kiállítanak tanúsítványt számodra mindenféle személyi okmány, vagy hivatalos irat ellenőrzése nélkül...
Én egy rakás domainre (amelyek nem az enyémek) szereztem már úgy hiteles SSL tanúsítványt, hogy nem adtam meg a személyes adataimat. Ha én meg tudtam csinálni számtalanszor, akkor egy profi támadónak erre akár már automatizált megoldása is lehet.