Расскажите об ssl-сертификатах

Man PKI

тащите скорее дробовик — эти твари забаненные вгугле нас нашли!

Если у тебя паблик сайт - надо покупать, поскольку у юзеров в ОС/браузере есть корневые сертификаты только определенных, «доверенных» УЦ. Если у тебя корпорация - разворачивай свой УЦ, устанавливай всем юзерам корневой сертификат этого УЦ в хранилище сертификатов доверенных УЦ и тогда корп сайтам можешь выдавать сертификаты этого УЦ. Если ты Неуловимый Джо, можешь сделать себе упрощенный УЦ и в админки своих сервисов напихать сертификатов, которые будут работать только у тебя.

1) Если сайт выставлен в интернет - сертификат лучше подписывать авторизованным центром, иначе будет высвечиваться ошибка, что проверить поставщика сертификата невозможно и сайт потенциально небезопасен. Если сайт локальный в рамках твоего локалхоста/твоей конторы - можно и самоподписной (ошибка появляться все равно будет, но в рамках локалхоста это не так критично).

2) Доступ на сайт - в пункте 1. Обмен почтовыми сообщениями - покупать, иначе сторонние почтовые службы будут давать отлуп. VPN-соединение - в целом, не важно, но купленный сертификат всегда лучше самоподписного.

Т.е. нужно ли приобретать сертификаты, в каком количестве, можно/нельзя использовать самосгенерированные и почему?

Один домен - один сертификат. Есть вариант wildcard-сертификатов (*.pornosite.tld), но они стоят заметно дороже.

К слову, в 2017 покупать сертификат необязательно - есть Let's Encrypt, который делает сертификаты бесплатно. С января собираются сделать еще бесплатные вайлдкарды.

https://habrahabr.ru/post/192446/

Если сайт выставлен в интернет - сертификат лучше подписывать авторизованным центром, иначе будет высвечиваться ошибка.

Генеришь свой рутовый сертификат и дабавляешь его в доверенные центры.
Внутри корпоративные сайтики все так работают, чтобы данные не палить.
Если хочешь, чтобы люди на автомате не закрывали вкладку, то конечно лучше реальный сертификат, а если хочешь рили секюрность, чтобы АНБ, ФСБ, Васян из соседнего подьезда не словили твои пароли, то лучше самоподписной.

Самый полезный ответ. Спасибо!

Также благодарю.

а если хочешь рили секюрность, чтобы АНБ, ФСБ, Васян из соседнего подьезда не словили твои пароли, то лучше самоподписной.

Чем лучше?

VPN-соединение - в целом, не важно, но купленный сертификат всегда лучше самоподписного.

Чем простите лучше?

Контролем над своим CA. Если паранойя твоя спит спокойно - тогда ничем

VPN-соединение - в целом, не важно, но купленный сертификат всегда лучше самоподписного.

Вот тут я не согласен. В случае VPN надо контролировать CA.

 Обмен почтовыми сообщениями - покупать, иначе сторонние 
почтовые службы будут давать отлуп.

Вот тут пож поподробнее. У меня почтовик 4 года на самоподписанном. Случаев отлупа другими сервисами типа майлру и т д не наблюдалось.

А мейлру умеет давать отлупы? :D

Ну у меня пару лет назад была проблема, что гугл отказывался принимать почту. Уже не помню, пытался ли я как-то решить проблему другими способами, но тогда как раз let's encrypt выкатили и я радостно все переделал на их сертификаты, взлетело с полпинка.

Есть почтовый сервер на «самодельном» сертификате. Письма ходят норм.

А мейлру умеет давать отлупы?

А вообще хорошо было бы заставить ВСЕХ иметь нормальный сертификат. Без всяких исключений. Племя спамерюг значительно тогда сократилось бы.