Per la sicurezza dei dati, la tua chiave conta. Poiché la maggior parte delle persone non sa che i tuoi certificati di chiave (pubblici) sono un modo in cui alcune istanze affidabili possono verificare la tua chiave e firmare un certificato "la chiave appartiene effettivamente al dominio X".
Per quando non è necessaria una CA pubblica, è costosa o non disponibile per altri motivi, è possibile creare un certificato autofirmato firmato con la chiave stessa. Gli utenti non hanno un modo diretto per verificarlo poiché non conoscono la chiave e non hanno alcuna indicazione se si tratta del tuo certificato autofirmato o di un qualche falso.
Ma c'è un modo per fidarsi del certificato e questo è la convalida in un altro modo. Guarda i dettagli del certificato: c'è un'impronta digitale che può essere confrontata con l'impronta digitale del certificato giusto. Se corrispondono, tutto va bene.
Quando utilizzi i certificati autofirmati solo per te stesso, è facile fare questa verifica poiché conosci entrambi i lati della connessione. Durante la scrittura di un'app, è possibile utilizzare un'impronta digitale codificata per verificare il certificato, che potrebbe anche essere più sicuro rispetto alla verifica di una CA (perché è sufficiente avere fiducia in se stessi).
Ciò che perdi è la flessibilità. Quando si desidera modificare la chiave, è necessario modificare l'impronta digitale del certificato nell'applicazione. Usando il sistema CA, lasci una CA attendibile dalla tua applicazione per firmare la nuova chiave e l'applicazione la accetterà.
Per rispondere alla tua domanda: sono sicuri fintanto che li verifichi in qualche altro modo che funziona senza CA. Quando disabiliti il controllo dei certificati, sei molto meno sicuro.