Réponses:
La seule raison pour laquelle les entreprises facturent les certificats SSL est qu'elles mettent du temps et des efforts à créer le certificat et s'attendent à être payées pour leur travail (avec un bénéfice bien sûr). Mais ils ne sont à la charge si elles ne veulent pas comme tout fournisseur gratuit de services peut faire. Ce qui importe avec les certificats SSL est de savoir si les principaux fabricants de navigateurs reconnaissent les émetteurs de certificats comme fiables ou non. S'ils le font, le navigateur affichera le site comme sécurisé, comme il le ferait de tout autre fournisseur reconnu. S'ils ne le font pas, tout utilisateur tentant d'accéder à une page Web sécurisée par le certificat non reconnu verra un avertissement leur indiquant que le certificat n'est pas reconnu et les avertissant de ne pas continuer.
La vraie question est donc de savoir "quelles offres gratuites sont reconnues par les principaux fabricants de navigateurs comme faisant autorité"?
Jetez un œil à Wikipedia pour une bonne comparaison des services SSL. Il semble que startcom dispose d'un service de certification SSL gratuit reconnu par IE, FF et Safari.
Je soupçonne qu'il existe d'autres services similaires. Le principal problème est de trouver des fournisseurs pris en charge par les navigateurs modernes. Avoir un navigateur avertit l'utilisateur que le certificat n'est pas fiable est pire que de ne pas avoir de certificat du tout, à partir du PDV de conversion et de vente.
L'infrastructure à clé publique dépend d'un tiers de confiance qui vérifiera et pourra ensuite approuver votre identité.
Lorsque vous payez une autorité de certification majeure comme Verisign pour un certificat, vous payez pour sa réputation de tiers de confiance et de confiance qui peut endosser la validité de votre identité et de votre certificat. D'un point de vue pratique, cela signifie que les principaux navigateurs sont préconfigurés pour faire confiance aux certificats signés par ces autorités.
Je peux créer un certificat gratuitement pour vous, mais il sera relativement sans valeur, car personne ne sait qui je suis et donc mon approbation ne leur donne aucune confiance.