Me preguntaba si comparar el X509Certificate2.Thumbprint
de dos certificados cuenta como una forma segura de identificar si un certificado es correcto o no.
Por supuesto, esto solo funcionaría para certificados específicos que la aplicación conoce y no para todas las conexiones a través de https.
En mi aplicación, solo tengo una conexión de vista que estoy abriendo a través de https y podría guardar fácilmente la huella digital de esos certificados de vista dentro de la aplicación, comparándolos cuando abro una conexión para identificar si el certificado es válido o no.
Por lo que yo entiendo, no hay vectores de ataque con este enfoque.
Otra pregunta que tengo es sobre cómo se genera el X509Certificate2.Thumbprint
y si esta huella digital cambia si el certificado cambia de autofirmado para ser firmado por cualquier CA.