Webサーバーの公開鍵証明書に認証局の署名が必要なのはなぜですか？

言い換えれば、（ユーザーの観点から）認証局が公開鍵証明書に署名しないことのセキュリティ上のリスクは何でしょうか？つまり、データはまだ暗号化されています...署名されていない証明書を使用して、真ん中の男は何ができますか？

SSLをHTTPと共に使用する目的は、トラフィックを暗号化することだけでなく、Webサイトの所有者を認証すること、そして誰かがドメインの信頼性と所有権を証明するために時間とお金を惜しみなく投入することです。

それは、暗号化だけでなく、関係を購入するようなものであり、その関係は、特定のレベルの信頼を築く、または想定します。

とはいえ、私は数か月前に同様の質問をしましたが、戻ってきた基本的な答えは「SSLはちょっとした詐欺です」でした。

会ったこともコミュニケーションしたこともないJohn Smithという人物に$ 1,000,000を届ける状況を想像してみてください。あなたは混雑した公共の場所で彼に会うことができると言われています。彼に会いに行くとき、彼が実際にあなたが探している人であることを確認するための何らかの方法が必要であり、ジョン・スミスであると主張する他のランダムな人ではありません。政府発行の身分証明書、名刺が必要になる場合があります。John Smithに実際に会った信頼できる人に、彼を特定する手助けを求めることができます。

自己署名証明書はシステムを一意に識別しますが、システムが本物であるかどうかを証明するものではありません。証明書に自己署名して、serverfault.com、google.com、yourbank.comであると主張するのは簡単です。認証局は基本的に、サイトが所有していると主張する名前に対して証明書が実際に有効であることを確認するためにクライアントから信頼されるサードパーティとして機能します。

SSLビジネスは確かにちょっとした詐欺です。実際、少し暗号化的に興味深いデータに対してバイトあたり約20pを支払っている場合です。お支払いいただくのは、証明書の対象となるドメイン/ホスト名を実際に使用する資格があることを証明した後で、秘密鍵の1つで証明書に署名するために使用するCAです。Farseekerが言うように、それは信頼関係です-CAは（あなたが吟味した後）あなたを信頼し、世界のWebブラウザーはCA（通常）を信頼します。したがって、世界のWebブラウザーはあなたの証明書を信頼します。そして、拡張検証について始めないでください...