Říkáš to vše dobře, ale ještě bych chtěl poukázat na jednu natolik samozřejmou věc, že může leckdo na ni zapomenout.
Nestačí přijmout jméno neznámého cizince a použít jeho self-signed certifikát. Ještě je třeba věřit, že zrovna on je jediným držitelem soukromého klíče. Osobně bych řekl, že zde je takový self-signed certifikát důvěryhodnější než složitý řetězec certifikátů končící u neméně pochybné CA.