S placeným certifikátem je to jasné.
Když se teď zeptám co je menší zlo, z pohledu bezpečnosti a komfortu:
mít vlastní CA a nutit uživatele ji importovat do prohlížeče (ve firmě to za mě může přeci provést třeba GPO, nebo ne?), nebo to nechat udělat prohlížeč přidáním vyjímky? Osobně si myslím, že vlastní CA vyhrává na plné čáře.