Покупается не сертификат. Покупается подтверждение от имени некоей конторы, которая всем известна и которой все доверяют того факта, что держатель сертификата на самом деле то лицо (организация), которой представляется. Это на самом деле большая ответственность - за косяки бывает СA лишают доверия - чего стоит история с пинком под зад для StartSSL/WOSign
Выпустить самому себе сертификат никто не мешает - более того так поступают очень часто, когда его публичность никому не нужна - например веб-морда iLO, упса, девайса какого-нибудь для работы https генерит "хоть какой-нибудь" сертификат - если хочешь меняй. Корпоративные СA выпускают сами себе сертификаты - и прекрасно живут.
Покупной сертификат дает подтверждение того факта, что лицо, обозначенное в сертификате есть то, за которое оно себя выдает. Гарантируется это авторитетом CA, которое их выдает. Вы можете взять бумажку и написать на ней "Пачпорт гражданина всея России" - но кто Вам поверит?
Доверие к разным CA не безусловное - к одним больше, к другим меньше - в отличие, например, от УФМС. Но УФМС одно, а СA много.