SSL Pinning

Du kannst die Fingerprints eines X.509-Zertifikats auch anders als via HPKP "pinnen", und es kommuniziert laengst nicht jede TLS nutzende Anwendung mit ihrer Gegenstelle via HTTPS. Man kann z. B. den Fingerprint des Server-Zertifikats auch nach dem TLS-Handshake mit einem lokal vorgehaltenen, erwarteten Wert vergleichen, und bei einer Nichtuebereinstimmung davon ausgehen, dass etwas faul ist. Problem dabei: Wenn der Server-Betreiber bzw. die CA zum Widerrufen der Gueltigkeit des Zertifikats gezwungen ist, bleibt die App bis zu einem Update des lokal vorgehaltenen, erwarteten Fingerprint-Werts mit einer "OMG, ich werde mitm'd!!1!"-Alarmmeldung duester.