L'uso del pinning certificato (o chiave pubblica) può essere considerato una buona pratica per la difesa in profondità, poiché protegge un'applicazione da attacchi man in the middle e DNS hijacking. Ma può essere considerato un difetto nell'applicazione stessa?
Prendiamo ad esempio un caso in cui un certificato autofirmato è installato nel telefono cellulare o è firmato da una CA attendibile (utilizzando Let's Encrypt) e un'applicazione che utilizza l'archivio fiduciario del telefono per determinare se un certificato è affidabile . In nessuno di questi casi, un'applicazione senza pinning sarebbe esposta agli attacchi MITM; tuttavia, per fare ciò, sia un'applicazione dannosa (o anche l'utente, tramite l'ingegneria sociale) deve installare questi certificati. In entrambi i casi, se le suddette applicazioni riescono a raggiungere questo obiettivo, possono andare molto oltre e occuparsi interamente del telefono.