Ciò che ancora non capisco del blocco dei certificati è: perché sono ancora in grado di accedere alle app di Google tramite un MITM aziendale? So che ho il certificato di root per la mia azienda installato sul mio PC, ma Google non dovrebbe generare un errore quando i suoi siti sono firmati da un certificato (cert della mia azienda) che non corrisponde a uno dei certificati aggiunti sui server di Google? Forse sto fraintendendo come funziona il pinning.
Con i browser con blocco dei certificati, le CA radice installate dall'utente sono normalmente esentate dai requisiti di blocco; se il certificato ricevuto non corrisponde alla chiave o certificato aggiunto, ma è firmato da una CA personalizzata, il browser non si lamenta. Questo viene fatto per supportare lo scenario esatto qui, così come lo scenario in cui un utente decide di MitM (ad esempio, ispezionare tutto il proprio traffico di rete). Fonte (il blogger in questione, Adam Langley, lavora sullo stack di rete di Chrome e sull'infrastruttura HTTPS di Google ).
Leggi altre domande sui tag tls certificate-pinning hsts