Em outras palavras, qual seria o risco de segurança de não assinar certificados de chave pública por autoridades de certificação (de uma perspectiva do usuário)? Quero dizer, os dados ainda estão criptografados ... O que um homem no meio poderia fazer com um certificado não assinado?
O objetivo do SSL quando usado com HTTP não é apenas criptografar o tráfego, mas também autenticar quem é o proprietário do site e que alguém está disposto a investir tempo e dinheiro para provar a autenticidade e a propriedade de seu domínio. .
É como comprar um relacionamento, não apenas criptografia, e o relacionamento incute, ou assuma, um certo nível de confiança.
Dito isso, eu fiz uma pergunta semelhante há alguns meses, e a resposta básica que voltou foi "SSL é um pouco de uma farsa"
Imagine uma situação em que você deve entregar $ 1.000.000 a uma pessoa chamada John Smith que nunca conheceu ou com quem se comunicou. Você é dito que você pode encontrá-lo em um local público lotado. Quando você vai encontrá-lo, você precisa de alguma maneira para ter certeza de que ele é realmente a pessoa que você está procurando, e não alguma outra pessoa aleatória alegando ser John Smith. Você pode pedir uma identificação do governo, um cartão de visita. Você pode perguntar a uma pessoa em quem você confia quem realmente encontrou o John Smith para ajudá-lo a identificá-lo.
Um certificado autoassinado identifica exclusivamente um sistema, mas não faz nada para provar que o sistema é quem afirma ser. Eu posso facilmente assinar um certificado e afirmar ser serverfault.com, google.com ou yourbank.com. As Autoridades de Certificação atuam basicamente como um terceiro de confiança do cliente para verificar se um certificado é realmente válido para o nome que o site afirma possuir.
O negócio de SSL é de fato um pouco enganoso. Mais do que um pouco, na verdade, quando você está pagando cerca de 20p por byte por alguns dados criptograficamente interessantes. O que você está pagando é para qualquer CA que você usa para assinar seu certificado com uma de suas chaves privadas depois de provar a si mesmo que você está realmente autorizado a usar o nome de domínio / host para o qual o certificado é. Como diz o Farseeker, é uma relação de confiança - a CA confia em você (depois de ter verificado você), os navegadores da Web do mundo confiam na CA (normalmente) e, portanto, os navegadores da Web do mundo confiarão no seu certificado. E não me fale sobre Validação Estendida ...