Per implementare Cert Pinning su un'app mobile nativa su (ad esempio iOS), viene stabilito un nuovo endpoint API (ad esempio api.example.com). Questo URL verrà impostato con un certificato SSL autofirmato .
Questo URL endpoint dell'API è pensato per essere utilizzato solo da questa app mobile (e non via Web o altri UA). Sull'app mobile, gli avvisi "cert non attendibili", se presenti, possono essere soppressi in modo trasparente per renderlo perfettamente compatibile con l'utente mobile.
La convalida Cert Pinning sull'app mobile è sufficiente per la sicurezza dei dati in transito (con certificato autofirmato)?
Abbiamo davvero bisogno di un certificato SSL pubblico in questo scenario?
Un cert SSL pubblico aggiungerebbe un valore aggiunto da un punto di vista crittografico per mitigare il MITM (uno degli obiettivi di cert pinning)?