Que repositório de certificados eu coloco um certificado SSL autoassinado de terceiros para que a autenticação funcione sem riscos extras de segurança?

Estou tentando configurar a autenticação de certificado de cliente em um aplicativo ASP.NET MVC3 em execução no IIS 8. O cliente (bom terceiro) usa um certificado SSL autoassinado para autenticar a si mesmo e meu aplicativo conhece a impressão digital antecipadamente e verifica se a solicitação tem um certificado adequado.

Ele não funciona fora da caixa - o IIS rejeita solicitações com HTTP 403.16 (certificado de cliente não confiável).

Eu experimentei muito e parece que se eu adicionar o certificado de cliente aos armazenamentos de certificados "Root" (Autoridades de certificação raiz confiáveis) ou "Autent Root Root" (Autoridades de certificação raiz de terceiros), as solicitações passam para o aplicativo código - O IIS agora confia no certificado e aceita solicitações. Então, adicionar o certificado em uma dessas lojas "faz com que funcione".

O problema é que não tenho certeza de quais outros efeitos tais mudanças podem ter. Suponha que o Bom Terceiro perde sua parte de chave privada do certificado e algum Bad Third Party o abusa - o que eles podem fazer exceto se passar por um Bom Terceiro? Talvez eles possam assinar um pacote de código no qual meu sistema confiará? Talvez eles possam emitir um certificado de site e fazer meu sistema confiar em seu site malicioso?

Qual loja eu adiciono o certificado de cliente para minimizar os riscos de segurança inesperados?