rouuor

Если сертификат не подписан доверенными центрами, то браузеры будут ругаться, что "а сертификат-то паленый!":


На шифровании это никак не сказывается. Если соединением будешь пользоваться только "сам и мои друзья", которым можно объяснить, что "тыкайте "разрешить", и всё будет ровно", то можно пользоваться самоподписанными сертификатами.

Если же это публичный сервис, то клиентов такие сообщения про недостоверный сертификат будут отпугивать. Тогда имеет смысл купить сертификат, подписанный приличным УЦ.

Let's encrypt я бы из принципа использовать не стал (собственно, я и не стал :-) ), даже для домашнего сайта с котиками. Очень сомнительная модель, когда нужно ставить некий "клиент", который тебе генерит и обновляет сертификаты. Нет гарантии, что он твой секретный ключ при этом товарищу майору за бугор не отправляет. А то может и ещё что, смотря до чего дотянуться сможет.

Можно, но только OV/EV, и необходимо, чтобы IP-адрес принадлежал компании (был прописан во WHOIS).
DV-сертификат на IP не выпустите.

Можно, но не бесплатно. А за такие деньги, что можно десяток доменов купить :) А для разработки вообще достаточно самоподписанного - андроид правда будет матом крыть на тему "ааа, меня контролируют!"

www.rfcreader.com/#rfc5280
Можно. Только тот же LE не дает на IP, а у прочих оно стоит дороже, чем для ДНС-имен. Так что самоподписанный — единственный здравый вариант

Верно. Например.

Можно. Просто домен более транспортабелен. В остальном проблем нет