Puoi usarlo tranquillamente se aggiungi il loro certificato . Ciò aggiunge complessità alla manutenzione e all'implementazione, ma in realtà migliora la sicurezza.
Se non lo fai, allora dipende da come hanno costruito la loro catena di fiducia: se stanno usando solo certificati autofirmati, allora sei sfortunato e non puoi usare in modo sicuro i loro servizi. Se usano solo una CA privata, puoi comunque importare la CA e fidarti di essa.
Nel complesso, ti consiglierei di implementare il blocco del certificato (o della radice).
Modifica @LieRyan ha fatto un buon commento che mi piacerebbe spendere.
In alcune configurazioni, per bloccare un certificato è necessario aggiungerlo agli elenchi di ancoraggi di root della macchina. Ad esempio, questo è necessario se stai utilizzando IIS su Windows per ospitare la tua applicazione.
Ora, a seconda di come è stato generato il certificato, questo potrebbe essere o non essere un problema. In particolare: se il certificato ha una proprietà di "utilizzo chiave" e se tale proprietà NON elenca "Firma certificato", può essere tranquillamente utilizzato perché non può essere utilizzato per firmare altri certificati (i dettagli sono un po 'più complessi ma quello è il più importante)
Se il certificato NON ha una proprietà "utilizzo chiave" o se tale proprietà ha "firma certificato", allora potrebbe potenzialmente portare ad altri certificati firmati da quel certificato che il sistema operativo considera affidabili. Se hai implementato il blocco dei certificati, non dovrebbe esserci un problema per la tua app (dal momento che il blocco impedisce l'utilizzo di certificati anche altrimenti validi) ma potrebbe essere per un'altra parte del sistema operativo.