A livello di byte, X.509 è X.509 e non vi è alcun motivo per cui i certificati SSL gratuiti sarebbero migliori o peggiori di quelli non liberi - il prezzo non è scritto nel certificato. Qualsiasi fornitore di certificati può armeggiare la generazione del certificato, indipendentemente dal fatto che venga pagato o meno.
La parte difficile di un certificato è al di fuori di essa: è nelle procedure associate, ovvero in tutte le parti per gestire i certificati: in che modo il titolare della chiave è autenticato dalla CA, come la revoca può essere attivata e le informazioni corrispondenti vengono propagate, che tipo di garanzia legale è offerta dalla CA, i suoi livelli assicurativi, i suoi piani di continuità ...
Per l'acquirente del certificato, il grande valore in una particolare CA è dove la CA è riuscita a collocare la sua chiave di root (browser, sistemi operativi ...). I fornitori (Microsoft, Mozilla ...) tendono a richiedere un sacco di risorse amministrative e legali dalla CA prima di accettare di includere la chiave root CA nei loro prodotti, e tali cose non sono gratuite. Pertanto, una CA che può distribuire la chiave radice ma emette certificati gratuitamente ha un piano aziendale sospetto. Questo è il motivo per cui i rivenditori free-cert offrono anche certificati pagati con alcune caratteristiche extra (certificati che durano più a lungo, certificati con caratteri jolly, procedure di autenticazione extra ...): ad un certo punto, gli operatori CA devono avere un flusso di cassa in entrata. Ma alla fine, questo è il problema di CA, non il tuo. Se sono disposti a distribuire gratuitamente i certificati e , Microsoft è in grado di includere la chiave radice come "trusted by default key", quindi non c'è alcun problema per te nell'usare tali certificati.
Modifica: e ora c'è Let's Encrypt , che è una CA gratuita che è stata accettata dai principali browser. Il loro piano aziendale non è sospetto - in realtà, non hanno un piano aziendale. Operano come entità senza scopo di lucro e vivono di donazioni. La loro ha trovato una bella nicchia: hanno ottenuto il buy-in dai principali produttori di browser che sono andati in una crociata per uccidere il Web non HTTPS e avevano bisogno di un emittente di certificati gratuito per convincere gli amministratori di piccoli siti Web a passare; e ora, nessun venditore di browser può andarsene perché li farebbe sembrare soddisfatti per quanto riguarda la sicurezza.