Resumindo: você precisa atualizar cada aplicativo sozinho
Nem mesmo o Firefox e o Thunderbird compartilham certificados.
Infelizmente, o Linux não possui um local central para armazenar / gerenciar certificados SSL. O Windows tem um lugar assim, mas no final você acaba com o mesmo problema (o Firefox / Thunderbird não usa a API fornecida pelo Windows para determinar a validade de um certificado SSL)
Eu iria com algo como puppet / cfengine em cada um dos hosts e colocaria os certificados raiz necessários em todos os clientes com os mecanismos que essas ferramentas fornecem.