mais une CA qui signe un CSR simplement en cliquant sur un formulaire c'est pas sérieux

Les CAs payants ne sont pas parfaitement sérieux non plus, que ce soit sur la validation des personnes physiques / morales correspondant à tous les CSRs qui leurs parviennent ou les pratiques basiques d'hygiène informatique (voir par exemple l'incident de Diginotar)
Et puis fondamentalement, "you can't create trust with cryptography". Ce n'est pas parce qu'un site est signé par un CA qu'il est digne de confiance, ni parce qu'un site n'est pas signé par un CA qu'il n'est pas digne de confiance.

Avoir des CAs qui signent tout CSR a au moins un avantage: permettre une fourniture plus large de HTTPS sur Internet, ce qui peut fondamentalement être considéré comme une bonne chose - d'autant plus que SPDY, par exemple, dépend de HTTPS.
Il est facile de mettre en place un certificat signé par CAcert ou Starcom sur n'importe quel serveur HTTP pas trop nul, et il est trivial d'installer mod_spdy sur un serveur Apache.