Файл p12 представляет собой пару сертификат / ключ и будет содержать закрытый ключ, который вы использовали при создании сертификата. Если вы предоставляете это пользователю, то фактически вы предоставляете ему достаточный доступ, чтобы подписать приложение сертификатом, как будто это вы. Скорее всего, вы не используете этот закрытый ключ где-то еще, поэтому риск «вероятно» ограничен этим.
Сказав, что я считаю, что не редкость практика предоставлять разработчикам файл p12, чтобы они могли создавать и подписывать приложение для публикации.
Есть несколько других вариантов, которые вы могли бы рассмотреть. Создайте второй сертификат распространения с другим ключом. Из памяти Apple позволяет до трех из них.
Разработчик отправил вам сборку, которую вы можете оставить до загрузки.
Возможно, вы также захотите проверить связанный вопрос Любое беспокойство о совместном использовании закрытого ключа для сертификата распространения среди разных групп под учетной записью команды на портале обеспечения itune