Aki letölti akárhonnan a könyvét, az hiteltérdemlően eldöntheti, hogy valóban Árpi bácsi írta-e alá.
Nincs ehhez infrastruktúra, hogy _ezt_ dönthesd el.
Vagy mindent hiteltérdemlőnek fogadsz el, amit aláírt Árpi bácsi (akár a saját könyvéről van szó, akár máséról), vagy semmit, a root CA-sdi már csak így működik.
Persze elméletileg megnézheted minden egyes alkalommal, amikor valami secure site-t nézel, hogy pontosan melyik CA hitelesítette a weboldalt, de az emberek ezt nem szokták megtenni. Ami root CA által hitelesített, az biztonságos. Ha felveszek valakit a root CA-k közé, az _bármit_ aláírhat, és 99.99%, hogy nem fogom észrevenni, ha egy hamis banki oldalhoz írt alá egy tanúsítványt. És ugye míg egy normál root CA esetén vannak bizonyos biztonsági előírások (pl. biztosan nem elérhető az internetről az aláíró privát kulcsuk), addig egy random kis privát cég tuti nem ilyen körülmények között üzemelteti a CA-ját.