Bene, ti dà più sicurezza, se ti fidi che l'entità che ha firmato il proprio certificato sia quella che dicono di essere. Dato che sei tu, è piuttosto semplice, supponendo che tu possa essere sicuro che nessuno altro abbia mai avuto accesso senza restrizioni a quel certificato.
La firma di un certificato da parte di una CA pubblica è un mezzo per fornire prove di identità a estranei più o meno completi che stanno cercando di trovare il "vero" Facebook, o Bank of America o eBay. Quando ci si connette per la prima volta, o anche la prima volta ogni tanto, non si può avere alcuna garanzia che l'indirizzo IP restituito dal server DNS sia realmente corretto. Quindi, il server dall'altra parte invia il suo certificato, facendo corrispondere l'indirizzo IP a un nome e fornendo la prova che i dati su quel certificato sono stati garantiti da qualcun altro, che a sua volta ha un certificato che è stato garantito da una terza parte e così via fino a un piccolo numero di "radici attendibili" che semplicemente non hai altra scelta che fidarti se devi fidarti di qualcuno.
Poiché il server e il client possono essere "introdotti" in un ambiente sicuro, in cui è possibile sedersi in una singola postazione in una singola stanza, esportare un file chiave generato dall'archivio certificati del server e importarlo nel computer client come un certificato personale di fiducia, con ogni macchina, filo e pen drive implicati seduti proprio di fronte a te, questa "prima volta" connessione avviene in realtà offline. Da quel momento in poi, quando ti connetti da remoto su una rete, puoi verificare l'identità del tuo server, perché presenta esattamente il certificato a cui è stato detto che il tuo computer client è affidabile. Questo metodo è chiamato "blocco del certificato" e viene utilizzato sempre in situazioni come la tua, in cui un computer controllato deve dimostrare che sta parlando con un altro computer che controlli.
Una volta che hai risposto alla domanda di fiducia, il tunnel creato per la riservatezza tra i tuoi due computer utilizzando un certificato autofirmato non è diverso da quello creato utilizzando un certificato firmato dalla CA. Il client crittografa in modo asimmetrico e invia una richiesta per stabilire un canale di crittografia simmetrica di un tipo specifico utilizzando un metodo di scambio di chiavi predefinito, il server decide se desidera utilizzare quel metodo e, in tal caso, risponde con informazioni crittografate che consentono al client di completare il canale alla fine (o semplicemente un riconoscimento crittografato, se il "metodo di scambio delle chiavi" era semplicemente per il client per inviare al server la chiave che volevano usare).