La fijación de certificados y un TrustStore no son el mismo concepto. La diferencia no radica necesariamente en confiar en el certificado y en confiar en la clave pública utilizada en él. Usted puede pin certificados también.
El almacén de confianza de Android contiene esencialmente un grupo de autoridades de certificación en las que confían los desarrolladores o usuarios de Android (pueden agregar manualmente certificados raíz). Cuando valida un certificado utilizando un almacén de confianza, sabe que la raíz de confianza creó el certificado y que el certificado fue destinado a un host en particular. Este enfoque lo deja vulnerable a situaciones como CA raíz que pierde su clave privada .
Como se mencionó en OWASP , la fijación de certificados es una buena manera de evitar problemas como estas. Tomaré prestado un párrafo de ese artículo que podría ayudarlo a comprender la diferencia:
¿Cuándo pinzas?
Debe fijar en cualquier momento que desee estar relativamente seguro de la identidad del host remoto o al operar en un entorno hostil. Dado que uno o ambos son casi siempre ciertos, probablemente deberías marcarlos todo el tiempo.
Un ejemplo perfecto: durante las dos semanas de preparación para la presentación y la hoja de trucos, hemos observado tres fallas relevantes y relacionadas. Primero fue Nokia / Opera rompe el canal seguro de forma intencional ; segundo fue DigiCert emitiendo un certificado de firma de código para malware ; y tercero fue la pérdida de Bit9 de su clave de firma raíz . El medio ambiente no solo es hostil, sino también tóxico.