Por que o certificado de chave pública de um servidor da Web precisa ser assinado por uma autoridade de certificação?

Em outras palavras, qual seria o risco de segurança de não assinar certificados de chave pública pelas autoridades de certificação (da perspectiva do usuário)? Quero dizer, os dados ainda estão criptografados ... O que um homem do meio poderia fazer com um certificado não assinado?

O objetivo do SSL quando usado com HTTP não é apenas criptografar o tráfego, mas também autenticar quem é o proprietário do site e que alguém está disposto a investir tempo e dinheiro para provar a autenticidade e propriedade de seu domínio.

É como comprar um relacionamento, não apenas criptografia, e o relacionamento incute, ou pressupõe, um certo nível de confiança.

Dito isto, fiz uma pergunta semelhante há alguns meses, e a resposta básica que voltou foi "SSL é um pouco de fraude"

Imagine uma situação em que você deve entregar US $ 1.000.000 a uma pessoa chamada John Smith com quem você nunca conheceu ou se comunicou. Você foi informado de que pode encontrá-lo em um local público lotado. Quando você vai encontrá-lo, precisará de alguma maneira de ter certeza de que ele é realmente a pessoa que você procura, e não outra pessoa aleatória que afirma ser John Smith. Você pode pedir uma identificação do governo, um cartão de visita. Você pode pedir a uma pessoa em quem confie que realmente conheceu o John Smith para ajudá-lo a identificá-lo.

Um certificado autoassinado identifica exclusivamente um sistema, mas não faz nada para provar que o sistema é quem ele afirma ser. Posso assinar com facilidade um certificado e reivindicar ser serverfault.com, google.com ou yourbank.com. As autoridades de certificação agem basicamente como uma terceira parte de confiança do cliente para verificar se um certificado é realmente válido para o nome que o site afirma possuir.

O negócio de SSL é realmente um pouco de embuste. Mais do que um pouco, de fato, quando você está pagando cerca de 20p por byte para alguns dados criptograficamente interessantes. O que você está pagando é a CA que você usar para assinar seu certificado com uma de suas chaves privadas, depois de provar a si mesmo que tem o direito de usar o nome de domínio / host para o qual o certificado se destina. Como Farseeker diz, é uma relação de confiança - a CA confia em você (depois de examiná-lo), os navegadores da Web em todo o mundo confiam na CA (geralmente) e, portanto, os navegadores da Web em todo o mundo confiam no seu certificado. E não me inicie sobre a validação estendida ...