Bonjour,
J'ai souscrit à l'offre pro2014, et j'ai les sites web www.example.com, www.blog.example.com, www.example2.com, pour lesquels j'ai voulu mettre en place un mode de connexion sécurisé. www.example.com est mon domaine principal. Je possède aussi le site web www.example3.com que j'administre du même endroit.
Dans le manager, j'ai créé un certificat pour l'ensemble des domaines, à partir du domaine principal, soit de www.example.com. C'était, en apparence, plus simple que de créer un certificat pour chacun des sites. 
Du coup, www.example3.com s'est retrouvé avec le SSL d'activé.
Actuellement, quand je vérifie sur www.ssllabs.com la validité du certificat SSL de www.example2.com, j'obtiens en "subject" et "common names" le domaine www.blog.example.com . En "alternative names", j'obtiens non seulement tous les autres sites, mais aussi les sous-domaines qu'il m'a fallu créer pour exploiter le multisite d'OVH. Ainsi, il est facile pour un tiers de découvrir la totalité des sites web que j'administre via le domaine principal : www.blog.example.com, example2.example.com, example3.example.com. 
Je m'attendais à ce que le certificat soit délivré au domaine correspondant au site web courant (certificat pour www.example2.com délivré à www.example.com).
1. Pourquoi le certificat est-il délivré à www.blog.example.com, plutôt qu'au domaine principal www.example.com ?
2. Comment puis-je me prémunir de la divulgation des informations que j'ai pu récupérer via des services comme www.ssllabs.com, ou par tout autre moyen ?
3. Est-ce que j'aurais intérêt à désactiver le SSL sur le domaine principal (depuis les informations générales), et à réactiver le SSL domaine par domaine ?
Merci pour votre aide !
Pourquoi le certificat est-il délivré à www.blog.example.com, plutôt qu'au domaine principal www.example.com ?
Sans doute parce que www.blog.exanple.com arrive avant www.example.com par ordre alphabétique, simple hypothèse.
Comment puis-je me prémunir de la divulgation des informations que j'ai pu récupérer via des services comme www.ssllabs.com, ou par tout autre moyen ?
A peu près impossible. Une fois divulguée, l'information est irrécupérable. Il reste à la rendre obsolète ou à la noyer sous d'autres informations plus récentes.
Est-ce que j'aurais intérêt à désactiver le SSL sur le domaine principal (depuis les informations générales), et à réactiver le SSL domaine par domaine ?
Pourquoi pas. Mais il y a sans doute plus d'une méthode pour récupérer les même informations par des moyens détournés ; l'ingéniosité des hackers est illimitée... Le plus simple est de faire en sorte que la divulgation potentielle d'une information ne soit pas un problème trop grave.
Hello Ibarme,
Merci pour ton éclairage !
Je retiens ton hypothèse pour le premier point, elle me semble valable.
Concernant les second et troisième points, si j'ai besoin d'anonymiser les données, je vais tenter la désactivation, puis la réactivation domaine par domaine, ce qui devrait rendre obsolètes les informations précédemment récupérées par des tiers. J'aurai bien aimé qu'OVH me confirme que la manip ne me causerait pas de complications. En tous cas, j'ai déjà basculé mon compte OVH du statut professionnel au statut individuel afin de masquer les informations de Whois.