1) Многие браузеры начинают ругаться на самоподписанный сертификат, требуя дополнительных действий от пользователя, доверять ли неизвестному сертификату. Соответственно за это и платится денюжка. Поэтому многие предпочитают купить сертификат. Если у вас внутренний корпоративный портал, то можно скопировать сертификат на все компьютеры фирмы, тогда браузеры его примут за свой.
2) Сертификат бывает не только подписанный, но и разным числом бит (512,1024,2048), определяя стойкость шифрования, за это тоже отдельно платится денюжка. Т.е. если нужен сертификат для денежных проводок, то разряйтесь на более надежный. К слову сказать, правильная генерация сертификата требует хорошего генератора случайных чисел, например на основе датчика температуры. Это к вопросу о стоимости...
3) Сертификат может быть сгенерирован не только для сайта, но и для его алиасов, за это тоже часто берут денег. Например домен example.com и алиасы www.example.com, mail.example.com, smtp.example.com, imap.example.com и т.д.
3а) Сертификаты бывают и для генерации и подписывания других сертификатов, отдельная денюжка. Это нужно например для развертывания публичного VPN, например.
4) Заходя на сайт (для сайта можно на стойкий сертификат и не разоряться, а купить базовый уровень), сразу видеть, что как минимум коннект зашифрован иногда дорогого стоит.
5) Не нужно забывать об инфраструктуре отзыва и замены сертификатов, которую разворачивает производитель сертификатов, ведь сертификат можно украсть, подменить или еще как-то дискредитировать, а производитель будет гарантировать быстрый отзыв и перегенерацию, что будет происходить прозрачно для ваших пользователей.
