Joo, teknisesti on mahdollista tehdä self-signed sertifikaatteja, mutta sellaisen kanssa vaaditaan sitten vähän ymmärrystä siitä miten sertifikaatteja kannattaa tehdä ja miten niiden luotettavuus määritellään. Tämä on ilmeisesti ainakiln amerikkalaiselle peruskäyttäjälle liikaa vaadittu, ja siksi nykyiset selaimet tapaavat niuhottaa self-signed sertifikaateista lähes yhtä paljon kuin salaamattomista yhteyksistä yleensä.
Jos teet self-signed sertifikaatin, olisi hyvä sertifikaattia luodessa pitää huoli että se on pätevä vain joko tietylle yksittäiselle sivulle tai sellaiselle omalle (ali)domainille josta tiedät itse varmasti mitä siellä kuuluisi olla ja mitä ei. Sertifikaatin luontivaiheessa nämä tiedot liitetään sertifikaattiin itseensä siten, että niitä ei voi muuttaa jälkikäteen ilman sertifikaattia vastaavaa salaista avainta. Kun sertifikaatti on luotu, se pitää sitten asettaa luotetuksi, joko käyttöjärjestelmän sertifikaattivarastossa (Windows, Mac) tai selaimessa itsessään (Linuxit, Firefox kaikilla käyttöjärjestelmillä).
Jos reitittimessä oleva sertifikaatti (salaisine avaimineen) joutuu vääriin käsiin ja se on alunperin luotu löperösti, se saattaa antaa tunkeutujalle helpon keinon huijata niitä käyttäjiä jotka ovat asettaneet reitittimen sertifikaatin luotetuksi.
HTTPS:n kanssa käytettävä sertifikaatti luodaan aina jollekin tietylle (yhdelle tai useammalle) nimelle: reitittimen hallintasivun tapauksessa sille nimelle jota käyttämällä kotiverkosta pääsee reitittimen asetussivulle. (Periaatteessa nimen paikalla voi olla myös IP-osoite, mutta tarkoituksena on käyttää nimen omaan nimeä.) Usein nykyiset reitittimet hoitavat tämän tarjoamalla "valedomain-nimen" joka on olemassa vain reitittimen tarjoamassa sisäverkossa ja viittaa reitittimeen itseensä. Tähän asti tämä on onntehty istunut koska keskiverto kotireititin toimii myös kotiverkon DHCP-palvelimena, ja voi siis kertoa kotiverkon koneille että reititin itse on samalla myös DNS-nimipalvelin jota kotiverkon koneiden tulisi käyttää. Reititin sitten vastaa nimipalvelukyselyihin itse jos ne koskevat hallintasivun valedomain-nimeä, ja välittää kyselyt eteenpäin yhteydentarjoajan oikealle DNS-nimipalvelimelle kaikissa muissa tapauksissa.
Nyt tai pikapuoliin saattaa olla että tämä ei enää toimi luotettavasti, kun selaimet alkavat yhä useammin ohittaa DHCP-palvelimen kertoman nimipalvelimen ja siirtyvät käyttämään DNS-over-HTTPS tai DNS-over-TLS-ratkaisuja, joihin reititin ei enää pääsekään väliin. Tällöin voi olla että reititin ei enää pääse kertomaan valedomainistaan selaimelle, ja reitittimen hallintasivulle pitääkin mennä IP-osoitteella. Tällöin selain myös varoittaa reitittimen sertifikaatista käytännössä aina, ellei sitten reitittimen self-signed sertifikaattia ole nimenomaisesti tehty sallimaan myös reitittimen sisäverkon puoleisen IP-osoitteen käyttöä nimen lisäksi.
