CAA Record Lookup: Controla Quien Puede Emitir Certificados para Tu Dominio

CAA: el control de acceso para los certificados

Los registros CAA (Certificate Authority Authorization, RFC 8659) permiten al propietario de un dominio especificar en el DNS cuales Certificate Authorities (CAs) estan autorizadas a emitir certificados SSL para ese dominio. Desde septiembre de 2017, todas las CAs publicas estan obligadas a verificar los registros CAA antes de emitir un certificado. Si el registro CAA no autoriza la CA, la emision se bloquea. Esto previene la emision de certificados fraudulentos desde CAs comprometidas o errores en la validacion.

Sin registros CAA, cualquier CA del mundo puede emitir un certificado para tu dominio. Con las aproximadamente 150 CAs publicas existentes y cientos de CAs intermedias, la superficie de ataque es enorme: basta comprometer una sola CA (o su proceso de validacion) para obtener un certificado fraudulento. Los registros CAA reducen drasticamente esta superficie: si autorizas solo Let's Encrypt, las otras 149 CAs no pueden emitir certificados para ti, incluso si estan comprometidas.

Configuracion de registros CAA

# Autorizza solo Let's Encrypt
esempio.com. IN CAA 0 issue "letsencrypt.org"

# Autorizza anche DigiCert per wildcard
esempio.com. IN CAA 0 issue "letsencrypt.org"
esempio.com. IN CAA 0 issuewild "digicert.com"

# Blocca tutte le CA (nessun certificato autorizzato)
esempio.com. IN CAA 0 issue ";"

# Notifica tentativi non autorizzati
esempio.com. IN CAA 0 iodef "mailto:security@esempio.com"

Tres tags estan disponibles: issue autoriza a una CA a emitir certificados normales, issuewild autoriza la emision de certificados wildcard (*.dominio.com), e iodef especifica donde enviar notificaciones de intentos no autorizados. Si especificas solo issue sin issuewild, los wildcard heredan la politica de issue. Si quieres que solo una CA especifica pueda emitir wildcard, usa issuewild explicitamente.

Verificacion y mantenimiento

Usa nuestro CAA Record Lookup para verificar los registros CAA de tu dominio y asegurarte de que las CAs autorizadas correspondan a las que realmente usas. Antes de cambiar de CA (por ejemplo de Let's Encrypt a DigiCert), actualiza los registros CAA con anticipacion, de lo contrario la nueva CA no podra emitir el certificado. Verifica tambien SSL Check para confirmar que el certificado actual fue emitido por una CA autorizada.

Los registros CAA se heredan a los subdominios: si ejemplo.com tiene un CAA, todos los subdominios sin registros CAA propios heredan la politica del padre. Puedes sobrescribir la politica para subdominios especificos. Esta jerarquia es util: puedes autorizar Let's Encrypt para el dominio principal y DigiCert para un subdominio especifico que requiere un certificado EV. Verifica la cadena de herencia con DNS Lookup verificando los registros CAA en cada nivel.

El tag iodef es frecuentemente ignorado pero muy util: te avisa cuando una CA rechaza la emision de un certificado para tu dominio debido a los registros CAA. Esto puede indicar: un intento de emision fraudulenta (un atacante intenta obtener un certificado para tu dominio), o un problema operativo (tu equipo intenta usar una CA no autorizada). En ambos casos, la notificacion te permite actuar rapidamente.