Fijación de certificados

También conocido como: TLS pinning, Pinning de clave pública

Técnica por la que una aplicación incrusta un certificado o clave pública esperados y rechaza cualquier conexión TLS que no coincida, neutralizando CAs comprometidas o fraudulentas.

La fijación de certificados (certificate pinning) vincula un servidor TLS concreto a una o varias identidades criptográficas (certificado hoja, intermedio o hash de SubjectPublicKeyInfo) en las que el cliente confía de forma implícita. Durante el handshake, el cliente compara la cadena del servidor con los valores fijados y aborta la conexión en caso de discrepancia, aunque la cadena esté firmada por una CA pública. Se usa sobre todo en aplicaciones móviles y de escritorio que hablan con un backend fijo, bloqueando a atacantes que obtienen certificados fraudulentos. Sus inconvenientes son la fragilidad operativa, la necesidad de pins de respaldo y el riesgo de dejar fuera a los usuarios durante una rotación urgente; las guías modernas favorecen certificados de corta duración, Certificate Transparency y DANE en muchos casos.

Ejemplos

Una app bancaria que fija el hash SHA-256 de la clave pública de su servidor y rechaza cualquier otro certificado.
Un cliente de API móvil que fija tanto la clave de producción como la de rollover como respaldo.

Fijación de certificados

Ejemplos

Términos relacionados

TLS (Transport Layer Security)

HTTPS

Certificado X.509

Infraestructura de clave pública (PKI)

Autoridad de certificación (CA)

Ataque de intermediario (MitM)

Definición

Ejemplos

Términos relacionados

TLS (Transport Layer Security)

HTTPS

Certificado X.509

Infraestructura de clave pública (PKI)

Autoridad de certificación (CA)

Ataque de intermediario (MitM)