Un certificato certifica presso l'utente chi tu sia e permette in base a questo di criptare una connessione.
Per fare questo è necessario che un ente terzo (ente certificatore), sicuramente fidato, garantisca per te. Un po' come andare dal notaio insomma... Questo ha dei costi più o meno elevati.

Per rispondere alle tue domande...

Originariamente inviato da XWolverineX
l'unico modo è pagare?
che sappia io, Sì.
A meno che tu voglia far installare il tuo certificato autofirmato sui sistemi dei tuoi clienti... ma visto che si tratta di ecommerce non ci faresti una bella figura.

Originariamente inviato da XWolverineX
Ho trovato, ad esempio, www.cacert.org
Anche questo viene segnalato come non sicuro? Perchè questo sì e gli altri no?
Non li ho mai provati ma dire di sì visto che chi parlano di root certificate da importare nel browser:http://www.cacert.org/index.php?id=3

Originariamente inviato da XWolverineX
I browser hanno una lista di certificati che danno per "sicuri" al loro interno?
Sì, hanno i certificati degli enti certificatori fidati. (tra l'altro quelli per IE sono aggiornabili via Windows Update)

Originariamente inviato da XWolverineX
Insomma, domanda finale: per avere un certificato serio, devo per forza chiamare verisign e dargli dei soldi?
Sì, e visto che l'attività che intendete intraprendere è di quelle che necessitano la fiducia del cliente, direi che è una scelta obbligata.
Senti anche dal tuo hoster, spesso propongono certificati a prezzi inferiori dei più blasonati Verisign, Thawte etc...