Respostas:
A única razão pela qual as empresas cobram pelos certificados SSL é que elas investem tempo e esforço na criação do certificado e esperam ser pagas pelo seu trabalho (com lucro, é claro). Mas eles não precisam cobrar se não quiserem, como qualquer provedor de serviços gratuito pode fazer. O que importa com os certificados SSL é se os principais fabricantes de navegadores reconhecem os emissores de certificados como confiáveis ou não. Se o fizerem, o navegador exibirá o site como seguro, como seria de qualquer outro provedor reconhecido. Caso contrário, qualquer usuário que tentar acessar uma página da Web protegida pelo certificado não reconhecido receberá um aviso informando que o certificado não é reconhecido e avisando-o para não prosseguir.
Portanto, a verdadeira questão é: "quais ofertas gratuitas são reconhecidas pelos principais fabricantes de navegadores como autoritativas"?
Dê uma olhada na Wikipedia para uma boa comparação dos serviços SSL. Parece que a startcom possui um serviço de certificação SSL gratuito, reconhecido pelo IE, FF e Safari.
Eu suspeito que existem outros serviços semelhantes por aí. O principal problema é encontrar provedores suportados por navegadores modernos. Ter um navegador avisando o usuário que o certificado não é confiável é pior do que não ter um certificado, do ponto de vista da conversão e vendas.
A infraestrutura de chave pública depende de um terceiro confiável que verificará e poderá endossar sua identidade.
Quando você paga uma autoridade de certificação importante como a Verisign por um certificado, está pagando por sua reputação como um terceiro respeitável e confiável que pode endossar a validade de sua identidade e seu certificado. Do ponto de vista prático, isso significa que os principais navegadores vêm pré-configurados para confiar nos certificados assinados por essas autoridades.
Posso criar um certificado para você de graça, mas será relativamente inútil, porque ninguém sabe quem eu sou e, portanto, meu endosso não lhes dá nenhuma confiança.