SSLmentor

Certificados TLS/SSL de calidad para sitios web y proyectos en Internet.

Registro CAA

Registro CAA

Registro CAA

El Registro de Autorización de Autoridad de Certificación (CAA) permite a un titular de un nombre de dominio DNS especificar las Autoridades de Certificación (CA) autorizadas para emitir certificados para ese dominio. La publicación de Registros de Recursos CAA permite a una Autoridad de Certificación pública implementar controles adicionales para reducir el riesgo de emisión inadvertida de certificados.
También permiten establecer reglas de notificación cuando alguien solicita un certificado de una CA no autorizada. Colocar un registro CAA en un dominio DNS es otra forma de mejorar la seguridad en Internet.

¿Qué es un registro CAA?

Un registro CAA (Autorización de Autoridad de Certificación) es un registro en la zona DNS de un dominio que indica qué autoridad de certificación está autorizada para emitir certificados SSL para el dominio. Si no se lista ningún registro CAA en el DNS, cada CA puede emitir un certificado para ese dominio. Si hay un registro CAA presente, solo las CAs listadas en los registros pueden emitir certificados para el dominio. Los registros CAA pueden establecer políticas para todo el dominio o nombres específicos. Los registros CAA también se heredan en subdominios, por lo que un registro CAA insertado en example.net también será válido en cualquier subdominio, como subdominios.example.net.

  • Los registros CAA se especifican en RFC 6844.
  • En marzo de 2017, se votó la obligación de verificar los registros de dominio CAA en el foro CAB, y a partir del 8 de septiembre de 2017, todas las AC públicas deben verificar los registros de dominio CAA antes de emitir un certificado y rechazar la solicitud de certificado si el registro CAA existe y la AC no está listada allí.

Valores del registro CAA

El formato de presentación canónico del registro CAA es: CAA <flags> <tag> <value>

  • <flags> (0 – 255) El valor predeterminado es 0 (requerido). Si se coloca 1, esto bloquea la validación si la etiqueta es desconocida por la CA. Recomendamos establecerlo en "0".
    Cada CA puede especificar además sus propios parámetros en términos de valores.
  • Los parámetros de la <tag>
    • issue permite la emisión de todos los tipos de certificados de la CA especificada
    • issuewild le permite permitir la emisión de certificados WildCard por separado
      Al especificar 0 issuewild ";" indicamos que no se deben emitir certificados WildCard en el dominio
      La propiedad issuewild tiene la misma sintaxis y semántica que la propiedad issue excepto que las propiedades issuewild solo otorgan autorización para emitir certificados que especifiquen un dominio comodín y las propiedades issuewild tienen prioridad sobre las propiedades issue cuando se especifican.
    • iodef establece la dirección de correo electrónico o la dirección del servicio web para informar violaciones de políticas enumeradas en registros CAA por una autoridad de certificación
  • <value>

Ejemplo de formato de registro CAA en DNS:

  • Dominio Tipo Valor | nota
  • sslmentor.com. IN CAA 0 issue "sectigo.com" | se puede emitir un certificado por CA Sectigo
  • sslmentor.com. IN CAA 0 issue "letsencrypt.org" | se puede emitir un certificado por Let’s Encrypt
  • sslmentor.com. IN CAA 0 issuewild "sectigo.com" | SOLO CA Sectigo puede emitir un certificado Wildcard
  • sslmentor.com. IN CAA 0 iodef "mailto:info@sslmentor.cz" | contacto para notificación de violaciones

Cómo establecer un registro CAA

Antes de colocar un registro CAA en la zona DNS, es recomendable generarlo utilizando uno de los servicios en línea. Una de esas herramientas es SSLMate (Asistente de Registro CAA), que ofrece una selección de muchas autoridades de certificación. Todo lo que tiene que hacer es elegir su autoridad preferida, si puede emitir cualquier certificado o incluso un WildCard, y el generador ofrecerá registros para inserción en el DNS.

SSLMate (Asistente de Registro CAA)

Inserción de un registro CAA en DNS

Para insertar un registro CAA, el proveedor de registros DNS debe admitirlo. Hoy en día, cada servicio de alojamiento o registrador debería ofrecer la opción de ingresar registros CAA en DNS. Las imágenes muestran la inserción en algunos servicios de alojamiento. Siempre es necesario esperar a que se expanda después de insertar registros CAA. Si el alojamiento lo requiere, no olvide publicar los nuevos registros DNS en Internet. Por ejemplo, debe confirmar "Aplicar cambios".

Inserción de un registro CAA en DNS

Comprobación del registro CAA

A medida que se expanden los registros DNS, podemos utilizar algunas de las herramientas en línea para verificar si hemos cargado correctamente los registros CAA. Por ejemplo, dnsspy.io/labs/caa-validator o enumerando un registro CAA en DNS con digwebinterface.com

Volver a Ayuda
¿Encontraste un error o no entiendes algo? ¡Escríbenos!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum