Pokud máte toho HTTPS klienta v ruce, zkusil bych použít
DANE , kdy budete certifikáty ověřovat přes DNS a nemusíte záviset na certifikační autoritě.
Ovšem aby to bylo bezpečné, potřebujete používat DNSSEC, kde zase potřebujete mít důvěryhodný kořenový certifikát, který se také jednou za několik let mění (možná častěji, než kořenový certifikát Let's Encrypt) – jestli se nemýlím, zrovna na příští rok je naplánována výměna.
No a nebo to můžete ošidit – používat pro serverový certifikát (pokud je to jeden server) stále ten samý klíč dokola a v klientech důvěřovat certifikátu s tím konkrétním klíčem. Pak samozřejmě ale nebudete schopen klíč vyměnit v případě úniku privátního klíče.