У меня нет суперспособности к объяснению принципов работы TLS "в 2-х словах".
Можете не вникать, просто продолжайте покупать сертификаты - это тоже правильный способ, но за деньги.
Я знаю о работе тлс. Просто сам принцип проверки сертификата основан на том, что существуют компании, которые гарантируют в режиме 24/7 осуществлять проверку.
24/7 означает, что должны быть некие серверы, которые едят электричество, поддержку и тд. За это и взымается плата. Пока что она относительно большая, так как относительно не много пользователей. Дальше она будет только снижаться, как и с доменами было.
Ну и объясните мне какой смысл разворачивать СА и предоставлять его сервис бесплатно?
