どのメールアドレスが信頼できるものとして扱われますか？

かなり短いリストです：「管理者」、「管理者」、「ウェブマスター」、「ホストマスター」、または「ポストマスター」

これが固定および静的リストです。 しかし：WHOISからの連絡先情報も合法です。

CABフォーラムの ベースライン要件 から、17ページ：

11.1.1ドメイン名登録者による承認
証明書に記載されている完全修飾ドメイン名ごとに、CAは、証明書が発行された日現在、申請者（または申請者の親会社、子会社、または関連会社）が総称して言及していることを確認する必要があります。このセクションの目的では「申請者」として）ドメイン名登録者であるか、次の方法でFQDNを制御します：[...]

3. WHOISレコードの「登録者」、「技術」、または「管理」フィールドにリストされている連絡先情報を使用して、ドメイン名登録者と直接通信する。

4. ローカル部分に「admin」、「administrator」、「webmaster」、「hostmaster」、または「postmaster」を前に付加し、その後にアットマーク（「@」）を付けて作成したメールアドレスを使用して、ドメインの管理者と通信する、その後にドメイン名が続きます。これは、要求されたFQDNから0個以上のコンポーネントをプルーニングすることによって形成される場合があります。

Edit 2015-03-21：Entrust blog。これは、いくつかの裏話があるニースのブログエントリです。
ブルース・モートン、Entrust Identity ONブログ、2015-03-20、 Live.fiで何が起こったのか？ （アーカイブ こちら 。）

ここで興味深い引用：

私たちが話している攻撃は2009年以前に行われました。それはRapidSSL CAに対して行われ、サブスクライバーが選択できる14の電子メールアドレスを提供しました。この場合、サブスクライバーが[email protected]を登録した別のMicrosoftドメインlogin.live.comに対しても攻撃が行われ、制御した電子メールアドレスを使用して証明書が要求されました。これにより、電子メールアドレスを制限するセキュリティの騒動が生じました。

Edit 2015-03-24：WHOIS「ベースライン要件」では、WHOISレコードからの電子メールアドレスも許可されています。上記で更新しました。