Você é livre para gerar seu próprio certificado SSL. Esteja ciente de que seus usuários receberão uma mensagem de aviso assustadora dizendo que o certificado não pode ser verificado. Isso vai incomodar muitos usuários. Alguns podem simplesmente sair ou ligar para sua linha de suporte, e ambos podem custar-lhe dinheiro.
Os certificados SSL têm duas finalidades:
- Para ativar a criptografia
- Para verificar se a pessoa com quem você está falando realmente é essa pessoa.
Um certificado auto-assinado só realiza o primeiro propósito, a menos que você tenha um meio de as pessoas verificarem o certificado, como dar-lhes uma cópia do público em pessoa para que possam adicioná-lo ao seu certificado confiável.
A parte de verificação garante que, por exemplo, I não gerou um certificado com o nome do seu site, depois seqüestra o DNS ou a conexão de rede do seu cliente e os direciona para meu me um certificado para o seu website.
Para sites internos, ou pequenos, onde você pode facilmente fazer com que seus usuários instalem um certificado, um auto-assinado funciona bem. Para um site voltado para o público, é praticamente inaceitável. Mesmo que ele permita a criptografia, isso não prova que você é quem você diz ser. E isso gera uma mensagem de erro BIG SCARY. Só isso já é motivo suficiente para pagar os poucos dólares por um certificado confiável válido.
Quanto aos certificados de validação estendidos - não há como fazer o seu próprio. Os navegadores têm uma lista muito específica de quais certificados raiz podem ter validação estendida e que geralmente não podem ser configurados pelo usuário. Curta de reprogramação, compilação e distribuição de sua própria cópia de chrome ou firefox, não será uma opção gratuita.