{"id":3758,"date":"2017-06-21T10:00:37","date_gmt":"2017-06-21T17:00:37","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=3758"},"modified":"2025-06-13T23:06:18","modified_gmt":"2025-06-14T06:06:18","slug":"certificate-pinning-couchbase-mobile-ios-app","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/es\/certificate-pinning-couchbase-mobile-ios-app\/","title":{"rendered":"Fijaci\u00f3n de certificados en su aplicaci\u00f3n m\u00f3vil Couchbase para iOS"},"content":{"rendered":"

La comunicaci\u00f3n entre Couchbase Lite y Sync Gateway est\u00e1 encriptada y asegurada usando SSL\/TLS<\/a>. El protocolo SSL\/TLS se basa en una infraestructura de clave p\u00fablica (PKI<\/a>) mediante un mecanismo Certificado X.509<\/a> para establecer la identidad del servidor Sync Gateway. El certificado suele emitirlo\/firmarlo una autoridad de certificaci\u00f3n de confianza y se instala en Sync Gateway. En un entorno de desarrollo, este certificado puede ser autofirmado.
\nSi la fiabilidad del certificado se ve comprometida de alg\u00fan modo o si se utiliza un certificado autofirmado, la identidad del servidor no podr\u00e1 establecerse de forma fiable y no habr\u00e1 garant\u00edas de confidencialidad en la comunicaci\u00f3n entre el cliente y el servidor.
\nPara aliviar estos problemas, Couchbase Lite soporta certificate pinning. La fijaci\u00f3n de certificados es una t\u00e9cnica que puede ser usada por aplicaciones para \"fijar\" un host a su certificado\/clave p\u00fablica. El certificado es t\u00edpicamente entregado al cliente por un canal fuera de banda y empaquetado con el cliente. Al anclar el certificado, la aplicaci\u00f3n cliente de verificaci\u00f3n ya no necesita depender de una tercera parte de confianza para verificar la firma y esta t\u00e9cnica tambi\u00e9n funcionar\u00e1 con certificados autofirmados.
\nEste post discutir\u00e1 c\u00f3mo fijar certificados dentro de su aplicaci\u00f3n cliente Coucbase Lite iOS.<\/p>\n

<\/p>\n

Versi\u00f3n 1.4<\/a>\u00a0de Couchbase Lite s\u00f3lo soporta la fijaci\u00f3n de certificados en iOS. El pr\u00f3ximo Versi\u00f3n 2.0<\/a> (ahora en Developer Preview) soportar\u00e1 la fijaci\u00f3n en todas las plataformas m\u00f3viles soportadas. Los fragmentos de c\u00f3digo que se tratan en este post se aplican a las plataformas versi\u00f3n de producci\u00f3n actual<\/a> de Couchbase Lite. Est\u00e9 atento a una futura entrada del blog sobre la fijaci\u00f3n de certificados en la versi\u00f3n 2.0.<\/p>\n

El problema<\/h2>\n

La comunicaci\u00f3n entre Couchbase Lite y Sync Gateway se encripta utilizando SSL\/TLS<\/a>.<\/p>\n

A muy alto nivel, el protocolo TLS funciona de la siguiente manera.
\nEn la puerta de enlace de sincronizaci\u00f3n se instala un certificado X.509 que contiene la clave p\u00fablica y la identidad del servidor. Este certificado de clave p\u00fablica puede estar firmado por una autoridad de certificaci\u00f3n externa de confianza o puede estar autofirmado, lo que suele ser el caso en entornos de desarrollo.
\nDurante el establecimiento de la conexi\u00f3n, la aplicaci\u00f3n cliente que ejecuta Couchbase Lite verifica la identidad de la puerta de enlace de sincronizaci\u00f3n utilizando el certificado del servidor. Couchbase Lite usa el certificado ra\u00edz de la CA de confianza para validar el certificado. Una vez verificado, el cliente procede con el intercambio de clave secreta. El secreto compartido se utiliza entonces para cifrar la comunicaci\u00f3n entre el cliente y Sync Gateway.
\n\"Basic
\nConsulte el RFC<\/a> para obtener informaci\u00f3n espec\u00edfica sobre el protocolo SSL\/TLS.<\/p>\n

Este enfoque plantea algunos problemas :-
\n- Aunque en la mayor\u00eda de las circunstancias es razonable confiar en la fiabilidad de la CA, es posible que la propia CA se vea comprometida. Si esto ocurre, no hay forma fiable de autenticar la puerta de enlace de sincronizaci\u00f3n porque la propia CA utilizada para la verificaci\u00f3n no es de confianza.
\n- La comunicaci\u00f3n cliente-servidor puede ser objeto de un ataque de intermediario (Man-in-the-Middle, MiTM) por el que un servidor fraudulento que se haga pasar por Sync Gateway puede emitir un certificado falso que represente a Sync Gateway, firmado por una CA falsa. Si el cliente es enga\u00f1ado de alg\u00fan modo para que incluya el certificado de la CA falsa en su almac\u00e9n de Autoridades de Certificaci\u00f3n ra\u00edz de confianza, entonces el cliente confiar\u00e1 en el certificado falso firmado por la CA falsa. El resultado ser\u00e1 que el cliente se comunicar\u00e1 con una puerta de enlace de sincronizaci\u00f3n falsa.
\n- Si utiliza certificados autofirmados en su entorno de desarrollo, no hay forma de que el cliente valide de forma fiable la identidad del servidor.<\/p>\n

Una soluci\u00f3n: la fijaci\u00f3n de certificados<\/h2>\n

Una forma com\u00fan de manejar los problemas anteriores es \"fijar\" el servidor Sync Gateway a su certificado\/clave p\u00fablica. En esta t\u00e9cnica, Couchbase Lite est\u00e1 preconfigurado con el certificado de confianza de Sync Gateway. As\u00ed, durante el establecimiento de la conexi\u00f3n, Couchbase Lite utiliza este certificado preconfigurado para verificar la identidad del servidor. Esto elimina la dependencia de una tercera CA externa para la verificaci\u00f3n del certificado.
\nEn Sitio web de OWASP<\/a> es una buena referencia sobre la fijaci\u00f3n de certificados.<\/p>\n

Advertencia:<\/h2>\n

Es importante tener en cuenta que, dado que las aplicaciones se incluyen con el certificado, cada vez que este caduque habr\u00e1 que actualizar la aplicaci\u00f3n con el nuevo certificado. Esto puede ser un poco m\u00e1s dif\u00edcil en entornos m\u00f3viles, donde la publicaci\u00f3n de aplicaciones puede requerir revisiones de la App Store y la responsabilidad de actualizar las aplicaciones recae en los usuarios. As\u00ed que est\u00e9 atento a cu\u00e1ndo caducan los certificados y haga los planes adecuados para publicar las aplicaciones con los nuevos certificados.<\/p>\n

Fondo<\/h2>\n

La pila de Couchbase Mobile incluye Couchbase Lite<\/a> base de datos integrada que se ejecuta localmente en los dispositivos y Pasarela de sincronizaci\u00f3n<\/a> en la nube que suele estar respaldada por Servidor Couchbase<\/a> persistencia de los datos en la nube. Sync Gateway se encarga de replicar los documentos entre los dispositivos.<\/p>\n

Instalaci\u00f3n del certificado en la puerta de enlace de sincronizaci\u00f3n<\/h3>\n

Siga las instrucciones del Portal para desarrolladores de Couchbase<\/a> para instalar el certificado de servidor correspondiente en su Sync Gateway<\/p>\n

Un par de puntos a tener en cuenta durante la generaci\u00f3n del certificado:-
\n- El certificado y la clave privada correspondiente deben estar en formato .pem
\n- Instale los certificados en un lugar accesible para Sync Gateway.
\n- Si est\u00e1 generando un certificado autofirmado, probablemente el campo m\u00e1s importante es el Nombre com\u00fan<\/code>. Debe ser el FQDN de su Sync Gateway. Si su Sync Gateway no tiene uno, debe especificar el uso de localhost<\/code> para localhost o la direcci\u00f3n IPA est\u00e1tica de su Sync Gateway.
\n\"self
\nUna vez configurada, su pasarela de sincronizaci\u00f3n deber\u00eda ser accesible a trav\u00e9s de https.<\/p>\n

Integraci\u00f3n de certificados en su aplicaci\u00f3n iOS<\/h2>\n