O valor que uma autoridade de certificação confiável adiciona é que eles realizam (ou devem) algum esforço para verificar a identidade da entidade para a qual eles emitem um certificado. Quando seu programa de e-mail ou navegador da Web obtém um certificado adequado do ISP, ele pode verificar se foi emitido pela CA em questão e é válido para o site. Ou como Wikipedia diz:
A CA's obligation in such schemes is to verify an applicant's credentials, so that users and relying parties can trust the information in the CA's certificates. CAs use a variety of standards and tests to do so. In essence, the Certificate Authority is responsible for saying "yes, this person is who they say they are, and we, the CA, verify that".
If the user trusts the CA and can verify the CA's signature, then he can also verify that a certain public key does indeed belong to whoever is identified in the certificate.
Agora, se o seu ISP transmitir a você por algum confiável significa um novo certificado raiz e pede para você importá-lo, e então eles sempre transmitem o certificado raiz ou um certificado que volta à sua raiz, você não está realmente perdendo muito mais do que usar um terceiro confiável. O principal perigo aqui é que alguém invada o servidor cert do ISP e emite alguns certificados que eles podem usar para um ataque.
No entanto, se o ISP estiver inventando certificados aleatoriamente e dizendo para você clicar em qualquer aviso que aparecer, você pode ter um problema maior. Considere que, se alguém quiser executar um ataque homem no meio , ele poderá criar um ataque aleatório. certificado e enviá-lo para você no lugar do certificado do ISP. Você não tem uma boa maneira de dizer se é realmente do seu ISP ou do seu atacante. De fato, se você está acostumado a obter certificados raiz auto-assinados, provavelmente irá apenas clicar em qualquer aviso de que o software pode aparecer. Nesse ponto, o invasor pode detectar seu tráfego criptografado e saber sua senha ou o que ele estiver procurando.
Você pode querer ver o artigo da Wikipedia sobre autoridades certificadas intermediárias .