Questo è ciò che Facebook spedisce con il loro client PHP API: link
Contiene dozzine (centinaia?) di CA root.
Ma non rende il client più soggetto all'attacco MitM?
Per chiarire il motivo per cui penso: è più probabile che alcuni certificati CA vengano compromessi, che se includessero un singolo certificato, esattamente quello che firmano i loro certificati.
Mi manca qualcosa?