В рамках поставленного вопроса ответа на него нет :) Потому что для разных задач есть разные места для выпуска сертификата - где-то пойдет самоподписанный, где-то - корпоративный, где-то - бесплатный типа StartSSL/LetsEncrypt, а где-то - коммерческий за большие бабки.
Все зависит от того, для чего нужен сертификат. Обычно сразу советуют LetsEncrypt. И этот совет обычно неверный. Потому что если сертификат берется для продающего сайта, либо для сайта, на который заходят с мобильных устройств, то тот факт, будет ли сертификат признан нормальным, зависит целиком от производителя устройства. Корневые сертификаты крупных УЦ как правило всегда вносят в список доверенных, а вот всякую шушеру типа LetsEncrypt - могут и не внести. Вот и получается - сначала экономим на сертификате, а потом спрашиваем - а почему хром и мобильные устройства при заходе на сайт говорят, что сертификат - гумно? Да потому что он гумно :)
Для сертификата нет понятия "работает". Для него есть понятие "признается программой". Факт того, будет ли он признан программой, зависит от того, каким УЦ выпущен сертификат и есть ли ключ этого УЦ в списке доверенных ключей УЦ в системе. На компе это как правило можно поправить - занести в список УЦ любой ключ, хоть корпоративного УЦ, хоть какого. А вот на смарте-планшете-еще-фиг-знает-чем-с-выходом-в-тырнет этой возможности может и не быть, например на виндофонах ее точно нет. На андроиде есть, но при этом в трее болтается желтый треугольник. И вот если ключа УЦ, выпустившего сертификат, в этом списке нет - аля улю, гони гусей, сертификат недоверенный, паника-паника.
Именно поэтому LetsEncrypt - для разработчиков, тестеров и школоты. Если сайт продающий - ну удавите жабу уже, возьмите сертфиикат от признанного УЦ.
