Sto scrivendo un'app iOS per uso privato per fungere da client per un server PHP. Per proteggere la connessione, sto utilizzando un certificato SSL autofirmato.
Poiché il server è auto-ospitato, sulla prima connessione all'interno della mia LAN potrei essere abbastanza sicuro che non si stiano verificando attacchi MITM. Così ho salvato in un file il certificato che il server ha inviato al client e poi ho inserito il certificato scaricato nella mia app per controllare ogni connessione se il certificato inviato dal server e quello in bundle nella mia app erano uguali (SSL Pinning fondamentalmente).
So molto poco degli attacchi MITM e della sicurezza in generale, quindi la mia domanda è la seguente: un attaccante può scaricare il certificato (come ho fatto io) dal mio server e usare quel certificato per fingere di essere il server ed eseguire un attacco MITM ? Oppure sto interpretando male il modo in cui le opere di man-in-the-middle?