Android – работа с ssl-сертификатами?

1) А чем плохо использование одного и того же ключа на всех устройствах?
2) Как тогда это реализовывать на Андройде? =/

1) Ничем, если нет задачи проводить аутентификацию по сертификатам. Если вы будете реализовывать проверку сертификатов в приложении самостоятельно, то публичные сертификаты вам не нужны. Просто создайте собственный клиентский сертификат со сроком жизни 30 лет и используйте его во всех приложениях. Как вариант можно использовать публичный сертификат, но не проверять период действия на сервере.

2) Это как вы сами решите, вариантов множество. Сначала определитесь, будете использовать публичные сертификаты, или создадите собственную PKI?

Да вот тут тоже не всё просто. На сервере, к которому запросы идут, ещё и сайт наш находится.
В будущем может понадобиться использовать https на нём, тогда придётся в любом случае покупать сертификат.

Вот и думаем, купить сейчас сразу, чтобы в будущем проблем не было, или всё же сгенерить самим.

Определитесь, что вам надо. Если двухсторонний SSL для приложения, то делайте собственную проверку сертификатов с обоих сторон, генерируйте свои сертификаты и все будет отлично работать.
Если хотите пользоваться штатными средствами, то закажите публичный сертификат для сервера, можно взять бесплатный на том же startssl.com. Посмотрите как будет работать, потом можете купить платные сертификаты.
Можно купить сертификат для сайта, а шлюз для приложение разместить на другом IP и со своими сертификатами.

Если мы возьмём на startssl.com бесплатный, то продлить потом его можно будет тоже бесплатно?

да

Спасибо за помощь)