Semplicemente è solo una parte di ciò che un sistema Certicate completo può fare. Se tutto ciò di cui hai bisogno è un sistema di crittografia strong, ok. Se vuoi assicurarti di essere connesso allo stesso servizio che hai usato ieri (o la scorsa settimana o ...) è ok.
Se un server vuole assicurarsi che l'utente che chiede un documento sia quello che lo ha depositato, o che gli sia stata data esplicitamente la possibilità di recuperarlo, va bene anche.
Ma se un'autorità amministrativa vuole essere sicura che il tizio che chiede un certificato di nascita o altre informazioni riservate è il signor X, qualcosa o qualcuno deve certificare che questa particolare chiave è stata effettivamente data al signor X, e che l'identità del signor X è stata accuratamente controllata con una presentazione fisica del signor X stesso con la sua carta d'identità o la patente di guida. Quella parte non può esistere senza un'autorità attendibile.
L'altro caso problematico se devi intraprendere un'azione legale contro un ragazzo che ti ha inviato un comando e che ora rifiuta di pagare. Puoi sapere che è il proprietario di una particolare chiave, ma non puoi essere sicuro che sia o meno il signor X o il signor Y.
Ciò che intendo è che se hai bisogno di un legame tra una chiave e un particolare essere umano, hai bisogno di un'autorità fidata con procedure amministrative forti.