Según tengo entendido, los certificados SSL son caros porque está pagando a un tercero para que acredite su identidad y, aparentemente, la forma más segura de confianza es la confianza que debe pagar. Supongo que la confianza que obtienes es una forma de demostrar que no eres un sitio web de phishing o algo así (aunque he visto certificados SSL muy convincentes en los sitios web de phishing).
De todos modos, tengo una API que solo necesita comunicación cifrada entre un cliente y un servidor web. No necesito el factor de confianza que ofrecen los certificados de $ 200 por año, porque los usuarios ni siquiera usan un navegador web para usar mi API; están usando algún código que han escrito ellos mismos y la URL está codificada. en sus aplicaciones.
Lamentablemente, trabajar con certificados SSL es complicado para la mayoría de los nuevos desarrolladores (quienes usarán mi API) si el certificado es autofirmado. La mayoría de los marcos de programación lanzarán una excepción si no se importa el certificado que no es de confianza, etc. Es demasiado molesto y alejará a los desarrolladores de mi servicio. Sin embargo, no cifrar el tráfico no es una opción.
Todo lo que necesito es que el tráfico web esté encriptado y que los desarrolladores que usan mi API no tengan que pasar por alto. El mecanismo para realizar el cifrado es gratuito y de código abierto, y no quiero tener que comprar "confianza" adicional de terceros.
TLDR / Conclusión: ¿Hay alguna forma de generar un certificado SSL gratuito en el que la mayoría de los marcos de programación puedan confiar? O, ¿existen otras opciones para la comunicación segura a través de HTTP sin un certificado SSL comprado?