Creo que se refiere a la fijación de certificados en el contexto de la autenticación del cliente, donde el servidor no solo comprueba que el cliente puede establecer correctamente el protocolo de enlace SSL con el certificado (lo que significa que el cliente conoce la clave privada), sino que el certificado es exactamente lo que el servidor espera (o uno de los certificados esperados).
La verificación de que el certificado es exactamente el esperado es útil si se trata de certificados autofirmados o si desea agregar una protección adicional a la validación existente para asegurarse de que ningún atacante pueda obtener un certificado para el mismo tema de una CA de confianza. Por lo general, no se hace comparando todo el certificado como binario (aunque esto es posible), sino comparando la huella digital del certificado o de la clave pública dentro del certificado. En este último caso, esto se conoce como fijación de clave pública.
Esta técnica se usa más comúnmente en la otra dirección, es decir, para asegurarse de que el certificado del servidor sea el esperado. Esto se usa en los navegadores de hoy para proteger dominios importantes como google.com incorporando la huella digital esperada de la clave pública en el navegador. Con la extensión HTTP HPKP , cualquier otro sitio puede realizar la fijación de claves públicas también.