Является RRAS SSTP VPN, использующая публично подписанный, сертифицируют плохую идею?

Большинство руководств для развертывания SSTP на RRAS рекомендует настроить частный CA с помощью AD CS со всеми необходимыми шагами, которые идут с этим, чтобы выпустить сертификат аутентификации сервера и иметь, которому доверяют клиенты.

Из того, что я читал, также совершенно возможно настроить SSTP использование публично сертификата со знаком. По моему мнению, если Вы уже не имеете CA и не имеете других требований, которые требуют развертывать Ваш собственный CA, затем идя в усилие по развертыванию, и поддержание того для чего-то настолько основного походит на излишество. Сертификаты могут быть получены так дешево в эти дни, и клиенты будут автоматически доверять сертификату, независимо от того, являются ли они доменом, к которому присоединяются. Другие преимущества приходят на ум, который я не перечислю здесь.

Существует ли фактор, который я пропускаю здесь, который объясняет, почему большинство руководств принимает решение спуститься по маршруту развертывания AD CS даже для самой основной установки, или действительно ли мои взгляды являются довольно звуковыми?