Apenas se eles conseguirem reproduzir a impressão digital, o que é muito, muito mais difícil.
A impressão digital é, na verdade, o método mais confiável para determinar um certificado, é o que deveria ser. É apenas ignorado por quase todo mundo.
Se eu verificar a impressão digital de um certificado SSL auto-assinado no cliente, um ataque man-in-the-middle ainda poderá ocorrer?
Apenas se eles conseguirem reproduzir a impressão digital, o que é muito, muito mais difícil.
A impressão digital é, na verdade, o método mais confiável para determinar um certificado, é o que deveria ser. É apenas ignorado por quase todo mundo.
Um certificado auto-assinado é tão "seguro" quanto um certificado emitido pela CA, considerando as mesmas especificações criptográficas. Todas as mesmas vulnerabilidades e pontos strongs estão lá.
A única diferença é que os clientes geralmente têm uma lista pré-configurada de CAs confiáveis e não perguntam onde começarão automaticamente a auto-assinatura. O que parece que você já conhece.