Bah d'un point de vue technique, ça fait déjà ce que tu veux avec l'autosigné : tu l'acceptes la première fois et c'est bon.
Après, je ne vois vraiment pas l'intérêt par rapport aux certificats gratuits si tu vises un public quelconque, ou une vraie PKI propre si tu es dans un environnement maîtrisé.

DANE pourrait être pas mal : la signature du certificat est dans l'enregistrement DNS, il pourrait se substituer à la racine de confiance.