Foro de elhacker.net

¿Cuales son las diferencias entre tener un certificado gratuito y uno que sea de pago?
(más allá que el gratuito "let's encrypt" necesite ser renovado periódicamente)

la confianza del ente certificador... basicamente ahi terminan las diferencias...

Los certificados se utilizan para certificar que la página que estás visitando pertenece a algo o alguien en especifico. Let's Encrypt realiza solo un tipo de validación, la validación de dominio. Esto quiere decir que solo después que el sistema a verificado que tu eres el dueño del dominio te proporciona un certificado que dice: "Este certificado pertenece a este dominio".

¿Porque habrías de querer otro tipo de certificado? Imagina que te has comprado el dominio, "colchonesbaratos.com", tienes tu sitio en linea y tienes un certificado SSL de Lets Encrypt. Ahora viene otro individuo con intención de joder y se compra el dominio "colchonesbaratos.net", te roba el layout de tu pagina y toda la información relevante y como tú, también ha puesto un certificado SSL de Lets Encrypt. Lo que es más, tiene anuncios en google que lo ponen por encima de tu sitio. No hay forma de distinguir quien es realmente dueño del negocio, ambos dominios son validos pero ambos pueden argumentar que son dueños del negocio y el otro no.

Ahora si tu te compras un certificado con otros tipos de validaciones (como el de organización o extendida) las personas pueden ver que el certificado es del negocio/organización. El problema es que... no cualquier usuario se pone a verificar los certificados. Antes teníamos los recuadros verdes a la izquierda del navegador pero eso ya ha venido desapareciendo porque aparentemente eran inútiles. Por otro lado, quizás los buscadores te puedan dar una mejor posición si tienes un certificado con más validaciones.

Tienes otras razones por las cuales podrías querer otro tipo de certificado, como tener un solo certificado para múltiples dominios y/o subdominios. Realmente puedes obtener el número de certificados que tu quieras con Let's Encrypt (hasta donde tengo entendido). Es quizás un poco más elaborado el proceso pero creo que viene siendo lo mismo. El certificado de Let's Encrypt también expira en 3 meses mientras que los otros duran alrededor de un año. aunque el proceso de renovación se puede automatizar así que no hay ningún problema ahí. Algunos CAs van a darte una cantidad de dinero para asegurar a tus clientes pero la verdad no son muy claros bajo que términos pueden tus clientes hacer valida su petición.

En mi opinión, yo solo iría por un certificado con validación extendida si tuviera un negocio en el que clientes están visitando una página fraudulenta o si existen ya varios negocios con dominios similares.

Aquí los límites por si a alguien le interesa. https://letsencrypt.org/docs/rate-limits/

Adicional a lo que comenta Engel sobre la confianza que hay en el certificador, la diferencia mas importante es la duración del certificado, los de pago generalmente un año o 2 dependiendo de cuanto dinero sueltes, Lets encrypt lo tienes que renovar cada 90 días o de preferencia cada 60, esto se puede hacer manualmente o mediante algún script que ya hay varios para let's encrypt, sin embargo hacerlo manualmente no esta dificil a no ser que tengas muchos dominios distintos que procesar.

Saludos!