Poza kosztującymi po kilkaset dolarów certyfikatami uznanych centrów certyfikacji łatwo można znaleźć pełnoprawne certyfikaty SSL po kilkanaście dolarów, a nawet za darmo. Gdy szukałem certyfikatu do do zabezpieczenia procesu logowania dla serwisu ipsec.pl mój wybór padł na StartSSL, który oferuje certyfikat SSL klasy 1 (domain validated) zupełnie za darmo. Jak on działa w starszych i nowszych przeglądarkach można przetestować na ipsec.pl. Certyfikat jest rozpoznawalny we wszystkich aktualnych przeglądarkach i systemach, które testowałem (najstarszy to WinXP SP3 z MSIE7) i dobrze ocenia go też SSL Labs.
W tej samej firmie można kupić certyfikat klasy 2/3 (identify validated) w cenie ok. 25 USD za rok i EV (extended validation) za 150 USD. W StartSSL można również uzyskać za darmo certyfikaty do S/MIME oraz do uwierzytelnienia klienta po SSL. Można je też wykorzystać do podpisywania dokumentów elektronicznych w programach OpenOffice, MS Office czy Acrobat.
Jeśli nie StartSSL to warto rozejrzeć się po resellerach popularnych centrów certyfikacji, którzy mogą żądać cen niższych niż ich oryginalni wystawcy. Na przykład Trustico sprzedaje certyfikaty RapidSSL w cenie 20 USD za rok. Inny reseller sprzedaje RapidSSL po 10 USD, a PositiveSSL po 8 USD (choć nie wiem co za root za tym stoi).
Wyjaśnienia wymaga jeszcze klasa tych certyfikatów. Certyfikaty oznaczane przez wystawców jako DV (domain validated) gwarantują jedynie to, że kontrolujemy wpisaną w nich domenę i nic poza tym. Proces ich wydawania ogranicza się do odebrania maila wysłanego na “typowe” adresy administratorskie (np. hostmaster@ipsec.pl). Jest to zatem skuteczne zabezpieczenie przed phishingiem i podsłuchiwaniem łącza, ale już nie przed nieuczciwym sprzedawcą. Ponieważ jednak mój serwis nic nie sprzedaje, uważam darmowy certyfikat DV za dobre rozwiązanie chroniące prywatność korzystających z niego użytkowników.
Certyfikaty klasy identity validation lub organisation validation wymagają od wnioskodawcy nadesłania różnego rodzaju dokumentów potwierdzających fakt, że właścicielem domeny $X$ jest firma $Y$ oraz, że firma $Y$ istnieje. Jest to rozwiązanie odpowiednie dla małych sklepów internetowych w cenie od ok. $40 rocznie.
Klasa extended validation (EV) oznacza silniejszą weryfikację tożsamości wnioskodawcy i w przeglądarkach skutkuje dodatkowym oznaczeniem takiego certyfikatu zielonym kolorem.