Názor k článku Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné od BobTheBuilder - Privátní CA je téměř nutnost, protože nevím, jak...

Privátní CA je téměř nutnost, protože nevím, jak bych si nechal jednoduše podepsat certifikát pro LDAPS komunikaci s doménovým řadičem, ten certifikát tam má pár méně obvyklých položek a je služba je poměrně vybíravá na to, co v certifikátu je a není.
Vlastní CA nepředstavuje velké provozní problémy: počítače v doméně její certifikát dostanou z moci úřední a ostatní, pokud to potřebují, si ho musí přidat. Jednou.
A cizí lidi/stroje mě nezajímají, stejně tam nemají co dělat a nemají (nemají mít) přístup.
No, pravda, ten certifikát privátní CA musíte někdy přidat až 3x, jednou do systému pro všechny, podruhé pro Firefox a potřetí pro Thunderbird. Ale tohle v Mozille nejsou schopní pochopit léta, je to marné, to je jen takový standardní povzdech.