Se il cliente può installare il CA in modo che il computer consideri valido il sito Web, allora sì, ciò consentirebbe loro di verificare l'identità del sito web. Di conseguenza, le preoccupazioni relative ai certificati autofirmati non sarebbero più applicabili. In genere, il più grande riagganciare a questo tipo di soluzione è il fatto che può essere difficile da eseguire in pratica. Se il tuo servizio sarà accessibile da un piccolo numero di client e le persone che gestiscono tali macchine sono abbastanza esperti di tecnologia per installare correttamente la CA, allora questa può essere una soluzione perfettamente ragionevole (presumendo che tutto sia trasmesso in modo sicuro). Tuttavia, avendo preso in considerazione una tale soluzione io stesso in passato, ho trovato che le circostanze sono raramente così favorevoli, e il diavolo è nei dettagli.
1) Se stai parlando di installare la CA sui server, per cui potresti creare un processo abbastanza automatizzato per condividere e installare in modo sicuro la CA, allora fantastico!
2) Se stai parlando di camminare un numero qualsiasi di esperti non tecnici durante il processo di installazione della CA sui loro dispositivi personali / di lavoro (che immagino sia il caso da quando hai citato i browser), allora è improbabile che il processo andare liscio. Non penso che sarà facile come potresti pensare, ma dipende dai dettagli di ciò che stai facendo e da quanti clienti sono coinvolti.
Inoltre, c'è un aspetto fondamentale molto da tenere a mente: se lo fai, assicurati e proteggi il tuo certificato di root con la massima sicurezza. Presumibilmente questa applicazione che vive dietro il certificato autofirmato sta proteggendo alcuni preziosi dati / servizi. Se un attaccante malintenzionato ottiene una sospensione del certificato di origine, può firmare alcuni nuovi certificati ed eseguire un attacco MITM con nessuno più saggio.
Un'alternativa
Specialmente dal momento che hai citato i browser, dovresti sapere che cifrare no fornisce certificati SSL gratuiti e automatici. L'ho usato io stesso alcune volte ed è estremamente facile da usare e configurare. Se puoi, non preoccuparti di provare un certificato autofirmato. Ottieni un certificato gratuito da Let's Encrypt.