Estoy escribiendo una aplicación de iOS para uso privado para que actúe como cliente para un servidor PHP. Para asegurar la conexión, estoy usando un certificado SSL autofirmado.
Dado que el servidor es auto hospedado, en la primera conexión dentro de mi LAN, podría estar bastante seguro de que no hubo ataques MITM. Así que guardé en un archivo el certificado que el servidor envió al cliente y luego empaqueté el certificado descargado dentro de mi aplicación para verificar todas las conexiones si el certificado enviado por el servidor y el empaquetado en mi aplicación eran los mismos (SSL Pinning básicamente).
Sé muy poco acerca de los ataques MITM y la seguridad en general, por lo que mi pregunta es la siguiente: ¿podría un atacante descargar el certificado (como hice yo) desde mi servidor y usar ese certificado para pretender ser el servidor y realizar un ataque MITM? ? ¿O estoy malinterpretando la forma en que funciona el hombre en el medio?