А, ну то есть не понимаешь. Ясненько.Суть простая: я могу сделать сколько угодно самоподписных сертификатов на любые домены. Плюс цепочки подписи - именно в валидации через корневые сертификаты, валидация защищает от подмены. А УЦ валидируют, что у запросившего сертификат есть административный доступ к обслуживающим домен серверам. Удостоверяющие центры и прочие сущности, замеченные в подделке сертификатов - из цепочки исключаются достаточно быстро через ревокацию.
Решение проблемы зависимости от УЦ есть - двухфакторная валидация сертификата, создание личных цепочек доверия, например через сертификат из зоны, защищённой DNSSEC. Но внедрить эти механизмы достаточно сложно.