都合により、SSLの証明書を変更しました。以前のものは勝手に生成されていたもので、SSLの証明書のホスト名(x21:ローカルで使っているホスト名です)と別のサイト(wtnb.mydns.jp)の証明書があるとブラウザに認識されてしまっていました。
なお、rootCAが自分自身という「なんちゃって状態」は変わりません。SSLは暗号化のためだけに使いたいのであって、なりすましを防いぐといったSSLの暗号化以外の機能はとりあえず必要ないと考えているためです。
というわけで、一度永続的に証明書を受け入れてくれれば、次からはダイアログが出なくなってる*はず*です(少なくともgaleon/Linuxではそうなった)。