La respuesta depende de a qué "servidor de señalización" se refiere.
WebRTC es seguro para MITM contra los servidores de retransmisión no confiables , STUN y TURN . Esos servidores solo ayudan a los clientes a configurar una conexión p2p en absoluto.
Sin embargo, el canal a través del cual SDP se hace necesario para ser de confianza.
A diferencia del servidor de relés, SDP no tiene peso, y consiste solo en algunas cadenas enviadas por los clientes para la inicialización de una conexión. Se puede acceder a ellos a javascript y se pueden enviar de cualquier forma (HTTP, websockets, correo electrónico) entre los clientes.
Por lo tanto, debe utilizar un canal de confianza para realizar el SDP.
El intercambio SDP lleva un hash denominado a=fingerprint:
, que autentica la conexión p2p DTLS con carga útil al otro cliente. RFD 5763 contiene una buena descripción de esa conexión entre DTLS y SDP.
Puede reducir el contenido que necesita ser confiado a este hash, pero a menos que no tenga otro propósito, es mejor que haga todo el SDP a través de un canal confiable, ya que tiene menos complejidad.