CA steht für Certification Authority, das sind gewissermaßen Notare im Netz. Man kann zu ihnen gehen und sich eine Art Personalausweis (ein Zertifikat) ausstellen lassen, das nachweisen soll, dass man der ist, für den man sich ausgibt.

Wichtig wird das, wenn Sie (also Ihr Browser) verschlüsselt mit z.B. Ihrer Bank kommunizieren wollen, z.B. per SSL/TLS/HTTPS . Ihre Bank zeigt dann Ihrem Browser ihr Zertifikat, das von der CA Soundso unterschrieben ist. Nun schaut Ihr Browser nach, ob er diese CA kennt.

• Falls ja: Dann zeigt er die Seite an.
• Falls nein: Die CA hat ihrerseits wieder ein Zertifikat, das von einer anderen CA unterschrieben ist. Und so weiter - kennt Ihr Browser irgendeine dieser CAs, zeigt er die Seite an.
• Falls die Kette von CAs irgendwann endet, es also ein nicht weiter unterschriebenes Zertifikat gibt (und Ihr Browser auch dieses letzte in der Kette nicht kennt), dann könnte es sein, dass dieses Zertifikat gefälscht ist. Ihr Browser zeigt dann so etwas wie "Dieser Verbindung kann nicht vertraut werden..." an.
• Derselbe Fall aber kann auch auftreten, wenn das Zertifikat durchaus vertrauenswürdig ist, aber von jemandem selbst ohne Mitwirken einer CA erstellt wurde! (Denn das geht und hat durchaus auch Vorteile.) Auch dann sehen Sie die eben erwähnte Fehlermeldung.

Sehen Sie also die oben erwähnte Meldung, dann ist Vorsicht, aber noch nicht Verzweiflung geboten. Man kann das Zertifikat nämlich seinem Browser auch hinzufügen.

Es geht also bei diesen CAs um Vertrauen und Ketten von Vertrauen. Es gibt eine Handvoll sog. Root-CAs, die also die Wurzel der Vertrauensketten bilden; denen vertraut Ihr Browser blind. Aber wem denn noch? Schauen Sie mal in die Liste! In Firefox findet man sie in den Einstellungen unter "Erweitert" -> "Zertifikate" -> "Zertifikate anzeigen" -> Zertifizierungsstellen". Wem traut Ihr Browser also?

Man findet die Deutsche Telekom, Türktrust oder auch das China Internet Network Information Center. Vertrauen Sie denen wirklich?

Und ein weiteres Problem: Selbst wenn Sie denen vertrauen - was passiert denn, wenn diese Firmen gehackt werden? Und das kam schon vor! Beispielsweise hat man während der Revolution in Ägypten gefälschte Zertifikate von Google gefunden, die aber ordnungsgemäß von einer solchen CA unterschrieben waren; dies ist für eine solche Firma natürlich der Super-GAU (ähnlich, wie wenn man plötzlich Millionen von Personalausweisen fälschen würde!); aber dieser CA vertraut Ihr Browser trotzdem noch!

Und selbst wenn diese Firmen nicht gehackt wurden: Wie stellen die denn fest, dass ich (sebkrause) wirklich der bin, der ich vorgebe zu sein, wenn ich das Zertifikat beantrage? Es gibt zwar CAs, bei denen man wirklich nachweisen muss, dass man derjenige ist (per Ausweis o.ä.) - aber bei anderen reicht es, eine Mail hinzuschicken, und man bekommt das Zertifikat. Einfach so. Und auch diesen CAs vertrauen Sie!

Dies ist der Grund, warum inzwischen nicht wenige Leute sich ihre eigenen Zertifikate ausstellen. Sie verzichten auf die CAs und nehmen in Kauf, dass Ihr Browser beim Besuch ihrer Seite die oben erwähnte Warnung ausgibt; andererseits geben sie Ihnen trotzdem die Möglichkeit, die Seite verschlüsselt zu besuchen - denn für HTTPS braucht man nunmal ein Zertifikat!

CAs sind also vom Ansatz her ein guter Weg, ein Vertrauensmodell im Netz aufzubauen; in der Praxis allerdings wird mancher CA vertraut, bei der das definitiv unangebracht ist - und andersherum...