Pour les clients cons, c'est facile au contraire: tu leur dis de cliquer sur le lien qu'il faut, et de cliquer sur "j'accepte" chaque fois qu'on leur demande. Mais ça tu peux le faire avec ton propre certificat self-signé aussi.
C'est pour les moins cons qu'il peut être plus difficile de leur faire accepter d'importer un nouveau certificat root, puisque dans leur tête, s'il n'est pas installé par défaut, c'est qu'il est moins sûr. Il faut alors leur expliquer que les CA par défaut sont là parce qu'ils payent, et leur rappeler qu'ils ont déjà parfois eu des problèmes de sécurité aussi. Et là c'est plus facile de leur faire accepter cacert comme tiers de confiance que de leur demander un chèque en blanc en acceptant ton self-signed.