Occasionally, I need to access these services from my personal computer at home.
Depende do software que usa os serviços. No caso dos navegadores ....
I want to trust the root certificate used by my company on my computer at home. In keeping with the principle of least privilege however, I only want that CA to be trusted for domains my company controls, e.g. *.internal.examplecompany.com. How can I do this?
Você não pode. O modelo de segurança do navegador (é uma coisa real) gira em torno do CA Zoo, onde qualquer CA pode certificar qualquer site (mesmo que seja a CA errada). Não há claramente interesse em mudar esse modelo. De Proposta: marcação do HTTP como não seguro :
Open question: do you think the browsers will support a model other
than the CA Zoo for rooting trust?
E a resposta da equipe do Chromium Proposta: marcação do HTTP como não seguro :
Chromium has no plans for this