Se gli utenti sono utenti esperti nel campo della sicurezza, possono scegliere di fidarsi permanentemente dei certificati autofirmati al primo accesso (Trust al primo utilizzo, proprio come SSH). Ciò impedirà qualsiasi attacco di Man-In-The-Middle contro i sistemi a cui si sono precedentemente collegati.
Tuttavia, un attaccante interno (o malware) potrebbe Man-In-The-Middle una connessione iniziale e presentare il proprio certificato. Poiché gli utenti sono abituati ad accettare e fidarsi di questi certificati autofirmati, è probabile che riuscirà a catturare le credenziali.
Alla fine della giornata dipende dal "profilo di rischio" dell'organizzazione. Se questo è considerato un rischio improbabile (come nella maggior parte delle organizzazioni), i certificati autofirmati sarebbero sufficienti. Un'alternativa sarebbe quella di impostare in modo efficace un'autorità di certificazione interna in cui i certificati vengono rilasciati ai server e firmati da un certificato root (o intermedio) di cui tutti gli utenti si fidano. Tale fiducia può essere impostata dal criterio di gruppo (GPO) sulle reti Microsoft Active Directory.