> https медленнее чем http?
Грамотно настроенный - нет. Но проблема в хендшейках, это +3-4 rtt перед первым коннектом по https с сервером (раз во время жизни хендшейков).
Ну и шифрование тяжелого контента всё же жрет cpu на сервере, на видеопотоке заметно.
> Кэшируется ли зашифрованный контент на устройстве пользователя?
HTTPS шифрует только канал между пользователем и сервером. Внутри - самый обычный http, по сути. Настроите кэши - будут работать.
> Нужен ли постоянный IP адрес?
Нужен выделенный адрес (иначе будут проблемы с клиентами, которые не поддерживают SNI). А насчет его постоянства - вопрос удобства.
> Может ли работающий сертификат до истечения своего срока заглючить и браузер выдаст сообщение о том, что сайт не безопасен?
Сертификат не заглючит, но у сертификата есть срок действия (при том он выражен временем "от" и "до"). Если у клиента неверно настроены часы (сбиты на год) - то сертификат у пользователя будет считаться невалидным. С другой стороны, у такого человека вообще https работать нигде не будет толком)
> Кто все эти организации (центры сертификации), которые выдают сертификаты, на каких основаниях, по какому-то закону или просто так, захотели и выдают на доверии, перед кем несут ответственность?
Они занесли деньги владельцам основных хранилищ (майкрософт с виндой, mozilla c firefox, apple с макосью и так далее) и прошли аудит безопасности этих самых владельцев. Всё это дорого. В теории они несут материальную ответственность перед клиентами, но это только в теории.
На практике - вся система торговли сертификатами - это торговля воздухом, что уже доказано, например, StartSSL (берут деньги только за услуги, требующие ручной работы - например, валидируют пользователя за деньги, а сертификатов он может получить уже сколько угодно) и letsencrypt (которые выдают бесплатные сертификаты, а существуют на деньги спонсоров).
> По какому принципу следует выбирать центр сертификации?
Если речь не о e-commerce - то по цене. Если о коммерции - то по размеру страховки (вы её всё равно не получите, но всё же).
Плюс смотрите на свою аудиторию, устройства, какие корневые сертификаты у них зашиты из коробки.
> Видел на каком-то популярном сайте разные цвета одного и того же замка, один желтый, второй зеленый. Какая между ними разница?
Браузер в таких вопросах озвучивать нужно. Но скорее всего речь про то, что желтый замок == сам сайт работает по https, но часть контента (например, картинка) загружена по http. Это невалидная настройка https на сервере/сайте.
> На некоторых сайтах этих центров написано о гарантии в 5, 10, 100 тысяч и пр. Что это значит?
С учетом того, что вы общаетесь на русском языке - ничего.
> Какие типы шифрования у тех или иных сертификатов и какой выбрать?
От сертификата шифры не зависят. Выбирать вам можно только длину ключа. Больше длина - надежнее шифрование, но медленнее хендшейк.
> Допустим что есть два сертификата от двух разных центров сертификации. Один заканчивается 10 августа, а второй сформирован 5 августа. Можно ли спокойно заменить один сертификат на другой без каких бы то ни было последствий?
Если нет пиннинга - то да. Но второй сертификат нельзя ставить раньше 6 августа (точнее, лучше всего подождать 24 часа с момента получения сертификата).
> Можно ли с одним и тем же сертификатом переехать на другой сервер с другой конфигурацией?
Да.
> Любой ли сертификат будет поддерживать все устройства или все зависит от центра сертификации или типа сертификата?
Зависит от центра сертификации - занесли ли они денег конкретному производителю. Ну и если про старые платформы говорить (та же ХР) - то вопрос в том, когда занесли.
> Что будет с отображением и работой сайта если этот сертификат им не поддерживается?
Сайту наплевать на сертификаты, "сайту" (а точнее его движку) важно понимать, что он должен работать по https, чтобы не генерировать http-ссылки.
> Есть ли отличия платного сертификата от бесплатного для одного домена?
Страховка, список поддерживаемых платформ, уровень поддержки живыми людьми (но тут как бы документация у всех есть).