Penso che ti stia riferendo al blocco dei certificati nel contesto dell'autenticazione del client, in cui il server non solo controlla che il client possa stabilire con successo l'handshake SSL con il certificato (il che significa che il client conosce la chiave privata) ma che il certificato è esattamente ciò che il server si aspetta (o uno dei certificati attesi).
Il controllo che il certificato è esattamente come previsto è utile se si gestiscono certificati autofirmati o se si desidera aggiungere una protezione aggiuntiva in aggiunta alla convalida esistente per assicurarsi che nessun utente malintenzionato sia in grado di ottenere un certificato per lo stesso soggetto da una CA di fiducia. In genere non viene eseguito confrontando l'intero certificato come binario (sebbene ciò sia possibile) ma confrontando l'impronta digitale del certificato o della chiave pubblica all'interno del certificato. In quest'ultimo caso, questo è noto come blocco della chiave pubblica.
Questa tecnica è più comunemente usata nella direzione opposta, vale a dire per assicurarsi che il certificato del server sia quello previsto. Questo è usato nei browser di oggi per proteggere domini importanti come google.com incorporando l'impronta digitale prevista della chiave pubblica nel browser. Con l'estensione HTTP HPKP tutti gli altri siti possono eseguire anche la pinatura della chiave pubblica.