{"id":4342,"date":"2017-12-13T10:00:00","date_gmt":"2017-12-13T18:00:00","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=4342"},"modified":"2025-06-13T20:52:42","modified_gmt":"2025-06-14T03:52:42","slug":"certificate-pinning-android-with-couchbase-mobile","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/es\/certificate-pinning-android-with-couchbase-mobile\/","title":{"rendered":"Fijaci\u00f3n de certificados en Android con Couchbase Mobile"},"content":{"rendered":"

Couchbase M\u00f3vil 2.0<\/a> soporta certificate pinning en todas las plataformas m\u00f3viles de Couchbase. La vinculaci\u00f3n de certificados es una t\u00e9cnica utilizada por las aplicaciones para \"vincular\" un host a su certificado\/clave p\u00fablica. La comunicaci\u00f3n entre Couchbase Lite y Sync Gateway est\u00e1 encriptada y asegurada usando SSL\/TLS<\/a>. El protocolo SSL\/TLS se basa en una infraestructura de clave p\u00fablica (PKI<\/a>) mediante un mecanismo Certificado X.509<\/a> para establecer la identidad del servidor Sync Gateway. El certificado suele emitirlo\/firmarlo una autoridad de certificaci\u00f3n de confianza y se instala en el Sync Gateway.<\/p>\n

En un entorno de desarrollo, este certificado puede ser autofirmado.<\/p>\n

Si la fiabilidad del certificado se ve comprometida de alguna manera o si se est\u00e1 utilizando un certificado autofirmado, entonces la identidad del servidor no se puede establecer de forma fiable y no puede haber garant\u00edas de confidencialidad en la comunicaci\u00f3n entre el cliente y el servidor. Para aliviar estos problemas, Couchbase Lite soporta prendido del certificado<\/strong>. Para lograr la vinculaci\u00f3n de certificados, el certificado de clave p\u00fablica se suele entregar a la aplicaci\u00f3n cliente a trav\u00e9s de un canal fuera de banda y se incluye con la aplicaci\u00f3n cliente. Al anclar el certificado, la aplicaci\u00f3n cliente verificadora ya no necesita depender de una CA de terceros para verificar la firma. Esta t\u00e9cnica tambi\u00e9n es necesaria para comunicarse con Sync Gateway configurada con certificados autofirmados.<\/p>\n

En este art\u00edculo se explica c\u00f3mo fijar certificados en Coucbase Lite. Versi\u00f3n 2.0<\/a> habilitada para Android. Versi\u00f3n 1.4<\/a> de Couchbase Lite s\u00f3lo era compatible con la fijaci\u00f3n de certificados en iOS y que se discuti\u00f3 en este entrada del blog<\/a>.<\/p>\n

Puede descargar las \u00faltimas versiones preliminares de Couchbase Mobile 2.0 en aqu\u00ed<\/a>.<\/p>\n

<\/p>\n

Fondo<\/h2>\n

Si est\u00e1 familiarizado con SSL\/TLS o ha le\u00eddo esto entrada del blog<\/a>puedes saltar a la secci\u00f3n \"Soporte de Certificate Pinning con Couchbase Mobile\" de esta entrada de blog.<\/p>\n

La comunicaci\u00f3n entre Couchbase Lite y Sync Gateway se encripta utilizando SSL\/TLS<\/a>A muy alto nivel, el protocolo TLS funciona de la siguiente manera.
\nEn la puerta de enlace de sincronizaci\u00f3n se instala un certificado X.509 que contiene la clave p\u00fablica y la identidad del servidor. Este certificado de clave p\u00fablica puede estar firmado por una autoridad de certificaci\u00f3n externa de confianza o puede estar autofirmado, lo que suele ser el caso en entornos de desarrollo.
\nDurante el establecimiento de la conexi\u00f3n, la aplicaci\u00f3n cliente que ejecuta Couchbase Lite verifica la identidad de la puerta de enlace de sincronizaci\u00f3n utilizando el certificado del servidor. Couchbase Lite usa el certificado ra\u00edz de la CA de confianza para validar el certificado. Una vez verificado, el cliente procede con el intercambio de clave secreta. El secreto compartido se utiliza entonces para cifrar la comunicaci\u00f3n entre el cliente y Sync Gateway.
\n\"Basic
\nConsulte el RFC<\/a> para obtener informaci\u00f3n espec\u00edfica sobre el protocolo SSL\/TLS.<\/p>\n

Este enfoque plantea algunos problemas :-
\n- Aunque en la mayor\u00eda de las circunstancias es razonable confiar en la fiabilidad de la CA, es posible que la propia CA se vea comprometida. Si esto ocurre, no hay forma fiable de autenticar la puerta de enlace de sincronizaci\u00f3n porque la propia CA utilizada para la verificaci\u00f3n no es de confianza.
\n- La comunicaci\u00f3n cliente-servidor puede ser objeto de un ataque de intermediario (Man-in-the-Middle, MiTM) por el que un servidor fraudulento que se haga pasar por Sync Gateway puede emitir un certificado falso que represente a Sync Gateway, firmado por una CA falsa. Si el cliente es enga\u00f1ado de alg\u00fan modo para que incluya el certificado de la CA falsa en su almac\u00e9n de Autoridades de Certificaci\u00f3n ra\u00edz de confianza, entonces el cliente confiar\u00e1 en el certificado falso firmado por la CA falsa. El resultado ser\u00e1 que el cliente se comunicar\u00e1 con una puerta de enlace de sincronizaci\u00f3n falsa.
\n- Si utiliza certificados autofirmados en su entorno de desarrollo, no hay forma de que el cliente valide de forma fiable la identidad del servidor.<\/p>\n

Entrega de certificados<\/h2>\n

Una forma com\u00fan de manejar los problemas mencionados anteriormente es \"fijar\" el servidor Sync Gateway a su certificado\/clave p\u00fablica. En esta t\u00e9cnica, Couchbase Lite est\u00e1 preconfigurado con el certificado de confianza de Sync Gateway. As\u00ed, durante el establecimiento de la conexi\u00f3n, Couchbase Lite utiliza este certificado preconfigurado para verificar la identidad del servidor. Esto elimina la dependencia de una tercera CA externa para la verificaci\u00f3n del certificado.
\nEn Sitio web de OWASP<\/a> es una buena referencia sobre la fijaci\u00f3n de certificados.<\/p>\n

Advertencia:<\/h2>\n

Es importante tener en cuenta que, dado que las aplicaciones se incluyen con el certificado, cada vez que este caduque habr\u00e1 que actualizar la aplicaci\u00f3n con el nuevo certificado. Esto puede ser un poco m\u00e1s dif\u00edcil en entornos m\u00f3viles, donde la responsabilidad de actualizar las aplicaciones recae en los usuarios. Por lo tanto, hay que estar al tanto de cu\u00e1ndo caducan los certificados y hacer los planes adecuados para publicar las aplicaciones con los nuevos certificados antes de que caduquen.<\/p>\n

Soporte de Certificate Pinning con Couchbase Mobile<\/h2>\n

Este post asume que est\u00e1s familiarizado con el desarrollo de aplicaciones Android y la configuraci\u00f3n de tu aplicaci\u00f3n para utilizar Couchbase Lite 2.0. Si no es as\u00ed, por favor revisa este Primeros pasos<\/a> gu\u00eda. Utilizaremos Pasarela de sincronizaci\u00f3n 1.5<\/a> en la nube respaldado por un Servidor Couchbase<\/a> persistencia de los datos en la nube. El servidor Couchbase no es relevante para las discusiones en este post.<\/p>\n

Instalaci\u00f3n del certificado en la puerta de enlace de sincronizaci\u00f3n<\/h3>\n

Siga las instrucciones del Portal para desarrolladores de Couchbase<\/a> para generar \/ instalar el correspondiente certificado de servidor en su Sync Gateway<\/p>\n

Un par de puntos a tener en cuenta durante la generaci\u00f3n del certificado:-<\/p>\n