En un escenario donde el cliente - > servidor a través de SSL, el servidor responde con el conjunto de certificado (cadena de confianza) que también contiene el certificado fijado dentro del cliente.
Digamos que la CA raíz está comprometida y la configuración es la siguiente: cliente - > MiTM - > servidor
¿El MiTM no puede utilizar el conjunto de certificados del servidor para omitir la fijación de certificados? ¿El certificado fijado debe ser el certificado de hoja en la cadena?
Si la clave privada del certificado anclado o uno de sus descendientes está comprometida, el anclaje del certificado no puede ayudarlo.
Si el certificado de hoja está anclado, solo obtener la clave privada de este certificado permite MitM. Si el certificado intermedio de un nivel superior se fija, al obtener la clave privada de este intermedio o la hoja permite MitM.
Por supuesto, sujetar la hoja también hace que sea mucho más difícil cambiar ese certificado.
Como siempre, hay una compensación.
Lea otras preguntas en las etiquetas certificate-pinning man-in-the-middle