> self-signed плох тем, что на него исключения добавлять надо

if security _is_ issue - надо поудалять все идиотские "доверенные центры" сразу и отовсюду. Ну да, ну да, ни один модный-современный браузер в таком режиме работать не сможет, и даже причину на экране не покажет, но это, в общем-то, вторичная проблема.
Если нет - next-next-next-ok-упс...восстановите пожалуйста 167й vde - ну надо пользователю нажать на одну галочку больше, и что с того?

Внутри корпорации - ну, там помимо веба еще в ста местах нужны сертификаты, начиная от wifi и заканчивая vpn. И да, желательно более-менее доверенные. Нет бабла на intermediate ca кого-нибудь приличного, значит, ставим везде свой, еще одна галочка в системе авторазлива помимо ста тыщ и так имеющихся, в чем проблема-то и чем тут LE помог бы?
У меня вот и на некоторые веб-сервисы доступ по сертификату, ага, юзверьскому.

> А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него
> кто-то ещё.

ну и нажмет "доверять всегда", в чем проблема-то? Скорее уж у него корпоративной политикой окажется прибито использование MSIE 8й версии без автообновлений сертификатов, и LE'шные помечены как неизвестный CA.

> И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за
> кривых скриптов"

так и не увидишь - взломали-то не клиента летсенкрипт, а сперли очередные логины-пароли от очередного втентаклиттера у конечного юзверя, который вообще ничего ни про какие сертификаты не знает и знать не хочет.

> Что до "доверенных центров" - надо просто понимать, в каком контексте им можно
> доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции,
> допустим - никаких проблем.

после того как уже несколько раз их ловили на раздаче ключей "уважаемым людям" (у которых без особого труда их могло скопировать любое количество менее уважаемых и совсем неуважаемых, ибо те крайне плохо понимают, что это такое и зачем это надо хранить в сейфе на обесточенной флэшке) не говоря уже об истории технически незамутненных динозав...diginotar? Are you serious?
И cert pinning придумали вовсе не в [анти]шпионском ведомстве, а те, кому, казалось бы, "нечего скрывать от партии". Чего это они, действительно?

Единственный контектст, в котором им можно доверять - это "если там зелененькое - значит такая (не та самая, а _такая_) лавка правда имеет подпись и печать, похожие на настоящие, и кто-то с дипломом нотариуса как-то раз видел их плохой скан в ворде вложенном в pdf вложенный в tiff и присланный с неведомого мэйла в мэйлре"