Názor k článku Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné od Vít Šesták - Privátní CA je sice možnost, ale nejspíš více...

Privátní CA je sice možnost, ale nejspíš více problémů vytvoří než vyřeší. Musíte vyřešit důvěru (pokud nenainstalujete certifikát CA do truststoru sám, nejspíš budou odklikávat výjimky) a je to mocný nástroj, který dává široké možnosti zneužití.

Když z nějakého důvodu* chceme skrýt administraci na tajné URL, je lepší tajnou část dát za lomítko, nebo případně použít wildcard. (Pokud to ale bude v názvu domény, leakne to skrze DNS dotazy a SNI.)

*) Doufejme, že motivace je defense-in-depth a ne security-by-obscurity.