Lo que todavía no entiendo sobre la fijación de certificados es: ¿por qué todavía puedo acceder a las aplicaciones de Google a través de un MITM corporativo? Sé que tengo el certificado raíz de mi empresa instalado en mi PC, pero ¿no debería Google lanzar un error cuando sus sitios están firmados por un certificado (certificado de mi empresa) que no coincide con uno de los certificados fijados en los servidores de Google? Tal vez no estoy entendiendo cómo funciona la fijación.
Con los navegadores que tienen un anclaje de certificados, las CA raíz instaladas por el usuario normalmente están exentas de los requisitos de anclaje; Si el certificado recibido no coincide con el certificado o la clave anclados pero está firmado por una CA personalizada, el navegador no se queja. Esto se hace para admitir el escenario exacto aquí, así como el escenario en el que un usuario decide mitigar ellos mismos (por ejemplo, inspeccionar todo su propio tráfico de red). Fuente (el blogger en cuestión, Adam Langley, trabaja en la pila de la red Chrome y en la infraestructura HTTPS de Google ).
Lea otras preguntas en las etiquetas tls certificate-pinning hsts