Actualmente estoy diseñando los controles de seguridad de una aplicación de Android y estoy dispuesto a tener la fijación de certificados. Estoy familiarizado con el concepto y he visto varias implementaciones en el pasado, sin embargo, esta aplicación de Android está usando un CDN (para todas solicitudes / respuestas).
Me preguntaba si el certificado que se debe fijar debe ser de mi propio servidor. ¿O debería ser el certificado de la CDN?
La fijación de certificados significa que su aplicación solo aceptará certificados de servidor específicos dentro de un protocolo de enlace TLS. Esto significa que necesita anclar a los certificados que realmente proporciona el servidor dentro de su protocolo de enlace TLS. Si su aplicación se está comunicando solo con un CDN, entonces estos serían los certificados entregados por el CDN. Si estos son certificados creados o comprados por el propio CDN o si son sus propios certificados, los que ha proporcionado al CDN dependen de su configuración específica y desconocida con el CDN.
Tenga en cuenta que también es mejor que solo fije los certificados sobre los que tiene control total. Por ejemplo, si conecta los certificados creados por el CDN y puede ser cambiado por el CDN sin preguntarle, la aplicación podría fallar repentinamente ya que el CDN decidió cambiar sus certificados.
Lea otras preguntas en las etiquetas tls certificate-pinning android mobile