OK, to je asi do jisté míry speciální případ, tam doménový řadič stejně už ty počítače spravuje. Můj hlavní point byl, že jako obecné řešení (zejména pokud ty počítače nespravujete) to přináší více problémů. A reagoval jsem na utajenou doménu na webu, což je trochu jiný případ než LDAPS (alternativní řešení jsou k dispozici).
> ostatní, pokud to potřebují, si ho musí přidat. Jednou.
Při každé změně CA. (Ta jednou vyprší.)
> jednou do systému pro všechny, podruhé pro Firefox a potřetí pro Thunderbird
Firefox a možná I Thunderbird umožňuje nastavit, aby používal certifikáty ze systému. Je to ale AFAIK Windows only: https://wiki.mozilla.org/CA:AddRootToFirefox
Dalším zlobivcem je Java, ta má vlastní cacerts. Minimálně na Debianu (a možná I jiných distribucích) jde nastavit Java, aby to brala ze systému, tady pro změnu neznám řešení pro Windows: https://packages.debian.org/wheezy/ca-certificates-java
Pak můžete mít ještě různé virtuální stroje, WSL, docker images, Vagrant atd., kde máte konfiguraci zvlášť.
Záleží samozřejmě dost na konkrétním případě, co chcete řešit. Možná nemáte například Javu, nebo ji možná máte, ale nezajímá vás, protože k serveru s certifikátem podepsaným interní CA přístup nepotřebuje. Stejně tak s dalšími problematickými elementy. Nepochybně jsou prostředí, kde to je řešitelné celkem snadno.