¿Qué es un registro CAA y cómo funciona?

Última actualización por Dionisie Gitlan
What Is a CAA Record

Los sitios web utilizan certificados SSL de autoridades de certificación (CA) de confianza para proteger la información confidencial de los visitantes. Estas entidades externas verifican la identidad de un sitio o empresa antes de emitir el certificado SSL. Sin embargo, no todas las CA son iguales, y algunas pueden no cumplir las normas de alta seguridad establecidas por el propietario del sitio web. Aquí es donde entra en juego el récord de la CAA.

Este artículo trata del registro CAA, desde su definición hasta su funcionamiento. También se explica cómo añadir un registro CA y por qué es conveniente crear uno.

Índice

  1. ¿Qué es un registro CAA?
  2. Ejemplo de registro DNS de CAA
  3. ¿Cómo funciona un registro CAA?
  4. ¿Cómo añadir un registro CAA?
  5. ¿Por qué debería añadir un registro CAA en DNS?

¿Qué es un registro CAA?

Un registro CAA (Certificate Authority Authorization) es un registro DNS que permite al propietario de un sitio web especificar qué autoridades de certificación (CA) están autorizadas a emitir certificados SSL para su dominio.

El registro CAA es un registro de texto que se añade al archivo de zona DNS de un sitio web y contiene una o varias de las siguientes informaciones: nombre de dominio del emisor, indicador y etiqueta.

Récord CAA

La adición de un registro DNS CAA es una medida de seguridad adicional que mejora la fiabilidad de los certificados SSL al impedir la emisión de certificados no autorizados o fraudulentos.

Ejemplo de registro DNS de CAA

Este es el aspecto que tendría un registro CAA para SSL Dragon en un servidor DNS:

ssldragon.com . CAA 0 issue “digicert.com”

En este ejemplo, sólo DigiCert está autorizada a emitir certificados digitales para este dominio. Otras autoridades de certificación deben cumplir esta orden o se arriesgan a que no se confíe en ellas. Como propietario del dominio, puedes decidir cuántas CA pueden emitir certificados SSL para tu sitio e incluso especificar el tipo de certificado.

He aquí un ejemplo de registro CAA para certificados comodín:

ssldragon.com. CAA 0 issuewild “sectigo.com”

En este caso, sólo Sectigo puede emitir certificados comodín para ssldragon.com. Según la votación 187 del Foro CA/Browser, las CA deben comprobar los registros CAA antes de emitir un certificado SSL.

Ahora que ya sabes lo que es un registro de CA, es hora de profundizar en su funcionamiento.

¿Cómo funciona un registro CAA?

Tomemos cada elemento de un récord de la CAA y desglosémoslo. Utilizaremos el mismo ejemplo hipotético para el sitio web SSL Dragon, y un registro CAA real de Google.com. Puede comprobarlo usted mismo con la herramienta de comprobación de DNS.

ssldragon.com. CAA 0 issue “digicert.com”

El registro CAA anterior incluye las siguientes partes:

  • ssldragon.com – el dominio que desea asegurar
  • CAA – el tipo de registro
  • 0 – bandera
  • asunto – etiqueta
  • Digicert.com – la CA autorizada a emitir certificados digitales para este dominio en particular.
SSL Sitio web de Dragon CAA

El ejemplo de Google también contiene el atributo TTL. Vamos a diseccionar las etiquetas, banderas, valores y TTL a continuación:

Banderas

Una bandera puede tener uno de los dos estados específicos 1 (crítico) o 0 (no crítico), siendo este último el valor por defecto.

  • El indicador 1 indica a la CA que no puede continuar con la emisión del certificado si no comprende la propiedad y que debe notificar al propietario del dominio por correo electrónico el fallo en la comprobación del registro CAA.
  • El indicador 0 informa a la CA de que puede utilizar cualquier información de registro CAA de la zona DNS. Si no entiende este registro, puede utilizar otro del archivo de zona DNS.

Etiquetas

Una etiqueta determina la acción que una CA autorizada puede realizar al emitir certificados digitales. Las tres etiquetas que se definen en la norma propuesta son issue, issuewild y iodef. Sin embargo, las CA también pueden crear sus etiquetas personalizadas para facilitar el proceso de emisión de certificados.

  • La etiqueta issue autoriza a una CA concreta a emitir certificados normales, no wildcard, para el dominio especificado y todos sus subdominios.
  • La etiqueta issuewild autoriza a una CA concreta a emitir certificados comodín para el dominio en cuestión.
  • La etiqueta iodef (incident object description exchange format) notifica al propietario del dominio por correo electrónico cuando una solicitud de certificado no supera la comprobación CAA. Así es como debería ser la sintaxis para la propiedad iodef: ssldragon.com. CAA 0 iodef “mailto:[email protected].

TTL (time to live) es el periodo en segundos que un servidor debe almacenar en caché su registro CAA.

¿Cómo añadir un registro CAA?

Ahora que ya conoces los elementos de un récord CAA, vamos a crear el tuyo. Con tantas formas disponibles de crear un registro de certificado CAA para su dominio, nos centraremos en las dos más comunes.

¿Cómo añadir un registro CAA en su servidor DNS?

Si utiliza su propio servidor DNS, puede crear su registro CAA directamente en el archivo DNS BIND.

  1. Utilice un editor de texto como el Bloc de notas para abrir el archivo DNS de su dominio.
  2. Añada o actualice la información del registro CAA de DNS en ese archivo. Utilice el ejemplo de registro CAA que le hemos proporcionado antes. Incluye las banderas, etiquetas, valor, etc.
  3. Guarde el archivo de zona con su nueva configuración.

¿Cómo añadir un registro CAA en cPanel?

Si desea añadir un registro CAA a través de su panel de alojamiento, a continuación le indicamos cómo hacerlo:

  1. Acceda a su cuenta cPanel
  2. En la sección Dominios, haga clic en Editor de zonas
  3. Junto al dominio para el que desea crear un registro CAA, haga clic en Gestionar.
  4. En la página Editor de zonas, busque el botón Añadir registro y expándalo. En la lista desplegable, seleccione Añadir registro “CAA“.
  5. Ahora tienes que rellenar los campos obligatorios:
    • El nombre del dominio o subdominio para el que desea añadir un registro CAA
    • El tipo de registro (CAA)
    • El indicador (0 o 1)
    • La etiqueta (issue, issuewild, iodef)
    • El valor (el nombre de dominio de la CA autorizada)
  6. Haga clic en Añadir registro para finalizar la configuración.

¿Por qué debería añadir un registro CAA en DNS?

A estas alturas, ya deberías ser un experto en todo lo relacionado con los registros de la CEA. Pero, ¿lo necesita su sitio web?

A continuación le indicamos algunas razones por las que puede considerar la creación de un registro CA para su dominio:

  1. Mejora de la seguridad del sitio web. Al limitar el número de CA que pueden emitir certificados para su dominio, se reduce el riesgo de que un atacante malintencionado obtenga un certificado fraudulento para su sitio web.
  2. Cumplimiento de las normas del sector. La creación de registros DNS CAA forma parte de las mejores prácticas del sector. El CA/Browser Forum y el PCI Security Standards Council recomiendan añadir registros DNS CA y piensan en su obligatoriedad para reforzar las amenazas a la seguridad web.
  3. Reducción de riesgos operativos. Al especificar qué CA están autorizadas a emitir certificados para su dominio, puede reducir el riesgo de errores operativos y configuraciones erróneas que podrían provocar brechas de seguridad o caídas del sitio web.
  4. Validación SSL más rápida. Los registros CAA pueden reducir el tiempo de validación SSL. Cuando una CA recibe una solicitud de certificado para un dominio, debe comprobar si existe un registro de recursos CAA y si la CA solicitada está autorizada a emitir certificados para ese dominio. Facilitar esta información con antelación puede acelerar el proceso de validación.
  5. Protección de marca. Los registros CAA pueden proteger la reputación de su marca impidiendo la emisión fraudulenta de certificados y bloqueando los ataques de phishing u otras actividades maliciosas que podrían dañar la reputación de su marca.

Reflexiones finales

Los certificados SSL son ahora un elemento esencial de todo sitio web. Y aunque romper el cifrado HTTPS está más allá de las capacidades humanas, los ciberatacantes siempre están buscando formas ingeniosas de comprometer su nombre.

Afortunadamente, los registros CAA son otra excelente medida de seguridad para proteger la identidad de su marca. Los registros CAA le ofrecen un control total sobre el proceso de emisión de certificados.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
What Is a CA Bundle
¿Qué es un paquete CA en SSL y cómo crearlo?
Root and Intermediate Certificates
Certificados raíz e intermedios: ¿cuál es la diferencia?
Certificate Authority
¿Qué es una autoridad de certificación y cómo funcionan?
SSL Warranty
¿Qué es la garantía de un certificado SSL y cómo funciona?
Dangers of Self-Signed Certificates
¿Son seguros los certificados autofirmados? ¿Cuáles son los riesgos?