Gracias a los últimos cambios de Oracle, parece que tengo que firmar un applet aunque no necesito o no quiero que tenga acceso sin restricciones a la computadora del usuario (por lo que actualmente no está firmado). En particular, no quiero la advertencia que muestran para los applets firmados:

Esta aplicación se ejecutará con un acceso sin restricciones que puede poner en riesgo su computadora y su información personal.

... lo que asustará a la gente que lo usa.

¿Es posible firmar un applet pero marcarlo de alguna manera para decir "pero sigue usando el sandbox"?

La única razón por la que lo estoy firmando es que a partir de la Versión 7, Actualización 40, Oracle ha aumentado aún más la molestia que los usuarios deben enfrentar cuando ejecutan applets sin firmar. Antes se podía marcar una casilla que decía que confiabas en un applet una vez, y eso sería recordado. A partir de la Actualización 40, solo se recuerda para esa sesión del navegador; la advertencia vuelve a aparecer si cierra el navegador y vuelve más tarde. También han dicho que van a deshabilitar los applets sin firmar por completo en "una versión futura" del complemento de Java.