Para la seguridad de los datos, su clave es importante. Como la mayoría de las personas no saben que sus certificados de clave (pública) son una forma en que una instancia confiable puede verificar su clave y firmar un certificado "la clave pertenece al dominio X".
Para cuando no necesita una CA pública, es costoso o no está disponible por otras razones, tiene la opción de crear un certificado autofirmado que se firma con la propia clave. Los usuarios no tienen una forma directa de verificarlo, ya que no conocen la clave y no tienen ninguna indicación de si se trata de su certificado autofirmado o de un certificado falso.
Pero existe una forma de confiar en el certificado y esa es la validación a través de otra forma. Mire los detalles del certificado: hay una huella digital que puede compararse con la huella digital del certificado correcto. Si coinciden, todo está bien.
Cuando usa certificados autofirmados solo para usted, es fácil hacer esta verificación, ya que conoce ambos lados de la conexión. Cuando está escribiendo una aplicación, puede usar una huella digital codificada para verificar el certificado, que puede ser incluso más seguro que verificar contra una CA (porque solo necesita confiar en usted mismo).
Lo que pierdes es flexibilidad. Cuando desee cambiar la clave, deberá cambiar la huella digital del certificado en su aplicación. Al usar el sistema de CA, simplemente permite que una CA de su aplicación firme la nueva clave y la aplicación la aceptará.
Para responder a su pregunta: están a salvo siempre que los verifique de alguna otra forma que funcione sin una CA. Cuando desactivas la verificación de certificados, estás mucho menos seguro.