在浏览一些美国军事和政府网站时，我注意到他们的 HTTPS 连接依赖于 DoD 根证书。正如我们大多数人所知，Web 浏览器预装了一组默认的根证书颁发机构，其中通常不包括DoD 中级保证和第 3 类根证书颁发机构在其中间和受信任的根 CA 列表中。因此，Web 浏览器不会将 DoD 识别为证书颁发机构，并会弹出相应的警告。

正如大多数相关网站显示和解释的那样（例如 http://mrmc.amedd.army.mil/index.cfm?pageid=ssl和/或http://www.dau.mil/faq/pages/dodcerts.aspx和/ 或http://www.forge.mil/Faqs.html#faqs14）可以手动或通过安装工具安装预期的证书；但这显然希望用户投入时间和精力，同时摆弄我个人不希望“用户/客户”首先必须摆弄的东西。特别是，因为下载根证书（或使用安装程序）似乎对多个（MitM）攻击向量开放。

乍一看，这似乎与创建您自己的根证书并强制您的用户下载并安装您的自签名证书，以便他们可以安全地浏览您的（民用）网站而不会发出警告并没有太大的不同。通常沿着这些思路思考的人都试图成为——让我们称之为——“便宜”，但当我们谈论美国军事基地时，我怀疑这是一个正当的理由。我直言不讳地认为，DoD 没有资金问题会阻止他们从成熟的 CA 购买证书（就像我们其他人一样）。

这让我想知道......对于像国防部这样的组织来说，有哪些潜在优势可以解释他们为什么使用自己的根证书？或者 - 从另一个角度来看 - 如果像美国国防部这样的组织依赖通常已知和使用的“公共”根 CA，是否有任何缺点？