Por muchas razones, a menudo es conveniente que las organizaciones tengan su propia CA (autofirmada o de otro tipo).
Tal como lo entiendo, agregar el certificado de CA a un sistema operativo o navegador hará que confíe en los servidores de la organización, pero también abrirá las puertas para que la organización (o cualquier atacante acceda a la clave de CA) para suplantar a cualquier servidor en internet . Este es un problema, especialmente si la organización tiene una política BYOD.
¿Hay alguna forma de agregar una CA a los sistemas operativos y navegadores populares (Windows, Mac, Linux, Android, Chrome, Firefox, ...) de modo que solo sea de confianza certificar algunos dominios ? Si no hay, ¿es esto debido a una limitación técnica en el sistema PKI, o simplemente porque "nadie lo necesitaba implementado todavía"?