為什麼 Web 伺服器的公鑰證書必須由證書頒發機構簽名？

換句話說，不由證書頒發機構簽署公鑰證書的安全風險是什麼（從使用者的角度來看）？我的意思是，數據仍然是加密的……中間的人可以用非簽名證書做什麼？

與 HTTP 一起使用 SSL 的目的不僅是加密流量，還驗證網站所有者是誰，以及有人願意投入時間和金錢來證明其域的真實性和所有權。

這就像購買一種關係，而不僅僅是加密，這種關係會灌輸或假設一定程度的信任。

也就是說，幾個月前我問了一個類似的問題，得到的基本答案是“SSL 有點像騙局”

想像一下這樣一種情況，您要向一個名叫約翰史密斯的人提供 1,000,000 美元，而您從未見過或交流過。你被告知你可以在擁擠的公共場所見到他。當你去見他時，你需要某種方式來確保他確實是你要找的人，而不是其他自稱是 John Smith 的隨機人。你可能會要求一些政府身份證，一張名片。你可以請一個你信任的人，他實際上見過約翰·史密斯，以幫助辨識他。

自簽名證書唯一地標識了一個系統，但它不做任何事情來證明該系統就是它聲稱的那個系統。我可以輕鬆地自簽名證書並聲稱自己是 serverfault.com、google.com 或 yourbank.com。證書頒發機構基本上充當客戶端信任的第三方，以驗證證書實際上對站點聲稱擁有的名稱有效。

引用自：https://serverfault.com/questions/102948