Grundsätzlich richtig. Wer das Zertifikat ausstellt ist allerdings eine andere Sache.
Ganz kurzer Exkurs zum Thema Zertifikat / Verschlüsselung…
Es braucht ein Zertifikat, damit die Verbindung mit diesem verschlüsselt werden kann. Denn das Zertifikat teilt dem Browser mit, mit wem diese sichere Verbindung aufgebaut wird.
Damit man sich sicher sein kann, dass dieses Zertifikat von niemand bösem stammt, gibt es Stellen, die als vertrauenswürdig im Browser bereits hinterlegt sind.
Alternativ kann man sich auch sein eigenes Zertifikat erstellen. Nur ist man eben nicht (standardmäßig) vertrauenswürdig. Daher muss man in diesen Fällen noch Dinge in den Browser importieren, um sich selbst zu vertrauen.
Früher war es so, dass diese Zertifikate sehr teuer waren, weil diese eben nur von bestimmten Stellen ausgegeben wurden. cacert.org war ein Ansatz diese teuren Zertifizierungsstellen zu umgehen und sich gegenseitig selbst zu beglaubigen. Nur wurde CaCert niemals als vertrauenswürdige Zertifizierungsstelle in die großen Browser aufgenommen. Daher war das Projekt wenig erfolgreich.
Und vor einigen Jahren trat letsencrypt.org auf den Markt und bietet seitdem kostenfreie Zertifikate an.
Let’s Encrypt prüft, ob die Domain zu Deinem Server führt / gehört und bestätigt dann genau das.
Let’s Encrypt ist als vertrauenswürdige Zertifizierungsstelle in allen großen Browsern drin. Daher kann man damit kostenfreie Zertifikate erstellen.
Cloudflare ist ebenso eine vertrauenswürdige Stelle und kann daher selbst auch diese Zertifikate ausstellen und tut dies (für einfache Zertifikate) ebenfalls kostenfrei.
Auf diesem Niveau sprechen wir von der Bestätigung, dass das Zertifikat zu der IP / dem Server gehört. Es gibt noch höherwertige Zertifikate, in denen dann auch die Identität des Betreibers festgeschrieben ist. Diese kosten weiterhin (richtig) Geld. In diesen Fällen wird aber auch die Identität des Betreibers, teilweise des Unternehmens usw. geprüft. Dies ist bei Banken oder anderen sensiblen Dingen der Fall.
Man kann also gerne bei Strato ein Zertifikat kaufen. Genausogut kann man sich das Geld auch sparen oder es anzünden. Brauchen tut man ein Strato Zertifikat (die vermutlich eh nur eine andere Stelle resellen) absolut nicht.
Je nach Anwendungsfall kann man dies von Cloudflare oder Let’s Encrypt kostenfrei beziehen.
Wenn es um die Kosten geht… Schaut euch doch einen richtigen Domainprovider wie inwx.de an. Da zahlt man für eine .de Domain im ersten Jahr 5,97 € und jedes weitere Jahr 4,65 €. Und man kann mit der Domain anstellen was immer man möchte.