Irgendwie reden wir aneinander vorbei.

Lets Encrypt befreit den Endnutzer von solchen Überlegungen und Schwierigkeiten.

Der Einzige, der ein klein wenig nachdenken muss, ist derjenige, welcher das Zertifikat einbauen / in seiner Anwendung haben will. Der Endnutzer bekommt nur eine https-Seite zu sehen und keine Warnung oder Aufforderung zu irgendwas - so, wie es sein sollte.

Die Browser gehen alle dazu über, nur noch von einer vertrauenswürdigen CA ausgestellten Zertifikate zu akzeptieren und für den Rest Fehlermeldungen zu werfen, mit denen nur noch ITler etwas anfangen können.

Es gibt kostenlose Zertifikate und daher verlieren selbst-signierte Zertifikate ihre Notwendigkeit.

Und ja, ich weiß, dass ein Zertifikat nicht automatisch vertrauenswürdig wird, nur weil es von einer üblicherweise vertrauenswürdigen CA kommt. Aber das muss jeder für sich selber entscheiden.