Důvěryhodná autorita pro Java WebStart je taková autorita, kterou máte uvedenu v úložišti důvěryhodných autorit v JRE, kterým tu aplikaci spouštíte. V Oracle Java jsou to autority v souboru lib/security/cacerts v adresáři JRE.
Proč váš vlastní certifikát není dostatečně důvěryhodný netuším, ale v popisu obou dostupných nastavení bezpečnosti se píše jen o certifikátech důvěryhodných autorit.
Rozdíl mezi aplikací podepsanou neověřeným certifikátem a nepodepsanou aplikací je v tom, že neověřený certifikát můžete ověřit, a pak spouštíte to, co autor podepsal. U nepodepsané aplikace nemáte žádnou možnost, jak ji ověřit, tam byste vždy spouštěl nějaký náhodný kód, který vám poslal bůhvíkdo. I kdybyste řekl „téhle aplikaci důvěřuji“, není žádná možnost, jak rozlišit, co je „tahle aplikace“ a co je něco jiného. Bylo by to ekvivalentní, jako kdybyste odsouhlasil „od této chvíle spouštět úplně cokoli“.