¿Qué es la CAA? ¿Qué es la Autorización de Autoridad de Certificación?
por
Tiempo de lectura: 6 min
Puntos clave
- A registro CAA define qué Autoridades de Certificación pueden emitir certificados SSL/TLS para su dominio.
- En impide la emisión no autorizada de certificadosreduciendo el riesgo de ataques de suplantación de identidad.
- Aplicación basada en DNS garantiza que sólo las CA de la lista puedan validar y emitir certificados para su sitio.
- Se alinea con los objetivos de marcos de cumplimiento como NIST y PCI DSS al demostrar un control sólido de la gestión de certificados.
- Combinado con SPF, DKIM y DMARC, CAA crea una defensa de espectro completo para su seguridad web y de correo electrónico.
Imagine su dominio como un lugar digital privado donde cada visitante necesita una prueba de que se encuentra en el lugar correcto. La Autorización de Autoridad de Certificación (CAA) actúa como la lista de invitados exclusiva de tu dominio, determinando qué Autoridades de Certificación (CA) pueden emitir certificados SSL/TLS en tu nombre.
Sin este registro, cualquier CA podría emitir un certificado para su dominio, permitiendo potencialmente que suplantadores se hagan pasar por usted. Un registro CAA correctamente configurado refuerza la credibilidad de su sitio, evita la emisión no autorizada de certificados y garantiza que la identidad digital de su marca permanezca protegida.
¿Qué es un registro CAA?
Un registro CAA es una simple entrada en su DNS que actúa como su lista personal y pública de porteros. Le dice explícitamente al mundo: "Sólo estas Autoridades de Certificación específicas y preaprobadas están autorizadas a emitir certificados SSL/TLS para mi dominio".
No se trata de una sugerencia de cortesía, sino de una norma obligatoria para las autoridades de certificación, tal y como se define en el Foro CA/Browser Requisitos básicos. Cada CA debe comprobar su registro CAA antes de emitir un certificado, y si no están autorizados, deben rechazar la emisión.
¿Por qué es importante la CEA?
En un mundo sin hackers, una política de puertas abiertas habría estado bien. Pero la web es una ciudad bulliciosa y caótica. Una política de puertas firmes, reforzada por un registro de CAA, es esencial por varias razones:
Evita la suplantación de identidad
Los registros CAA impiden que las CA no autorizadas emitan certificados fraudulentos para su dominio, lo que ayuda a impedir que los estafadores digitales monten un escaparate falso convincente junto al suyo.
Protege su reputación
Un certificado falsificado puede utilizarse en ataques de phishing o esquemas "MITM Hombre en el medio" por sus siglas en inglés, vinculando su marca de confianza a actividades delictivas. Un registro CAA es su primera línea de defensa contra este daño reputacional.
Aplica sus normas de seguridad
Usted elige qué CA cumplen sus normas de seguridad e investigación de antecedentes. CAA garantiza que nadie más, ni un socio comprometido, ni un empleado deshonesto, ni un atacante astuto, pueda eludir su elección.
Es una marca de conformidad
Para las organizaciones que se adhieren a marcos de seguridad estrictos como NIST o PCI DSS, demostrar el control sobre la emisión de certificados no es sólo una buena práctica, sino a menudo un requisito.
¿Cómo funciona un registro CAA?
Cuando una CA recibe una solicitud de certificado para su dominio, comprueba su DNS en busca del registro CAA. El registro en sí es una instrucción clara, compuesta de tres partes: una bandera, una etiqueta y un valor.
El expediente de la CEA sigue esta estructura:
example.com. IN CAA <flag> <tag> <value>
Normalmente, el indicador es 0, y pueden coexistir varios registros, uno por cada instrucción de autorización.
- Indicador: El indicador se suele poner a 0. Sin embargo, si se pone a 128 (el indicador "crítico"), la autoridad de certificación deniega la emisión si no reconoce la etiqueta, lo que añade otro nivel de seguridad.
- Etiqueta: Esta es la instrucción específica. Hay tres comandos principales:
- número: Concede a una CA permiso para emitir certificados estándar.
- issuewild: Concede permiso para comodín comodín (por ejemplo *.ejemplo.com). Puede asignarse a la misma CA o a una CA distinta de la CA emitir etiqueta.
- iodef: Se trata de la instrucción "notificar un incidente". Proporciona una dirección de correo electrónico a la que una CA puede enviar un aviso si alguien intentó obtener un certificado de ellos sin autorización.
- Valor: Es el nombre de la CA autorizada o la dirección de correo electrónico de notificación.
| Sintaxis del registro CAA | Qué significa |
|---|---|
| ejemplo.com. IN CAA 0 issue "digicert.com" | "Sólo DigiCert puede emitir pases estándar para este recinto". |
| ejemplo.com. IN CAA 0 issuewild "sectigo.com" | "Para los pases comodín de acceso total, sólo Sectigo está en la lista". |
| ejemplo.com. IN CAA 0 iodef "mailto:[email protected]" | "Si alguien más intenta conseguir un pase, envíe un email al responsable de seguridad inmediatamente". |
Creación de un registro CAA
La configuración de un registro CAA se realiza en su consola de gestión de DNS.
1. Introduzca sus DNS: Acceda a su registrador de dominios o proveedor de DNS.
2. Publicar una nueva regla: Busque el área para añadir un nuevo registro DNS.
3. Escriba la instrucción:
-
- Tipo: CAA
- Host/Nombre: Su dominio (por ejemplo ejemplo.com)
- Etiqueta Elija tema, issuewildo iodef.
- Valor: Introduzca el nombre de dominio de la CA entre comillas (por ejemplo, "digicert.com").
- Bandera: Ajústelo a 0.
4. Publicar y verificar: Guarde el registro. Los cambios de DNS pueden tardar en propagarse por Internet. Utilice el comprobador de CAA para asegurarse de que su política es visible y correcta.
Cómo puede ayudar PowerDMARC
El Comprobador de Autorizaciones de Autoridades de Certificación de PowerDMARC es la herramienta que utiliza para inspeccionar su propia política de puertas. Es una utilidad potente y gratuita diseñada para verificar al instante sus registros de CAA y confirmar que solo las CA que ha elegido están en la lista.
Paso 1: Regístrese gratis en PowerDMARC
Registrarse le da acceso a todo un conjunto de herramientas de DNS y autenticación de correo electrónico para mantener su dominio seguro.
Paso 2: Vaya a Herramientas de análisis > Herramientas de búsqueda > CAA Checker
En el menú principal, vaya a Herramientas de análisis. Encontrará el CAA Checker en la pestaña Herramientas de búsqueda.
Paso 3: Introduzca su nombre de dominio
Introduzca el dominio que desea inspeccionar (p. ej, powerdmarc.com) en la caja de herramientas y pulsa el botón "Buscar".
Paso 4: Revisar la lista de autorizados
La herramienta consultará inmediatamente su DNS y mostrará su política de CAA activa. Puede revisar las CA autorizadas y detectar fácilmente cualquiera que no debería estar allí. La herramienta también resalta el TTL (Time to Live) de cada registro.
Paso 5: Solucionar cualquier problema
Si el comprobador detecta algún error de configuración o entradas no autorizadas, puede utilizar la información detallada para volver a su proveedor de DNS y solucionar el problema.
Importante: Un buen comprobador de CAA te ayudará a evitar la emisión de certificados no autorizados, a potenciar la seguridad del dominio, a identificar y solucionar problemas de configuración de forma eficaz, así como a garantizar el cumplimiento y una mejor gestión de los certificados SSL.
Errores de novato que hay que evitar
- Errores tipográficos en la lista: Escribir mal el nombre de una CA ("digicert.co" en lugar de "digicert.com") las bloqueará directamente.
- Olvidar el Informe iodef: No decirle a tu gorila dónde enviar los informes de incidentes significa que nunca sabrás si alguien está poniendo a prueba tu seguridad.
- Políticas de talla única: Si utiliza una CA para los dominios estándar y otra para los comodines, necesitará dos registros distintos (issue y issuewild).
CAA y otros protocolos de seguridad del DNS
Su registro CAA es su puerta de entrada de seguridad, pero ¿qué pasa con la sala de correo? Aquí es donde entran en juego otros protocolos de seguridad DNS. SPF, DKIM y DMARC son el equipo de seguridad que inspecciona cada pieza de correo (email) enviada desde tu dominio, asegurándose de que no es falsificada.
Mientras que CAA protege su identidad web, DMARC protege su identidad de correo electrónico. Juntos, forman un detalle de seguridad integral que garantiza que cada interacción digital asociada a su dominio sea auténtica y digna de confianza.
La última palabra
Controle totalmente quién emite certificados SSL/TLS para su dominio. Un registro CAA actúa como su lista autorizada de Autoridades de Certificación aprobadas y bloquea a cualquier otra persona de crear un certificado en su nombre.
Esta es su gran defensa contra el phishing y los ataques de suplantación de marca que pueden erosionar la confianza de los clientes. Pero no basta con crear el registro. Para asegurarse de que funciona correctamente, es necesaria una verificación periódica. PowerDMARC le proporciona las herramientas expertas que necesita no sólo para comprobar la configuración de su CAA, sino también para desplegar una defensa completa y multicapa que integre la seguridad web y del correo electrónico.
No deje al azar su proceso de emisión de certificados. Regístrese en PowerDMARC hoy mismo para utilizar nuestro comprobador de CAA gratuito, validar su postura de seguridad y obtener visibilidad y control completos sobre los protocolos de autenticación de su dominio.
Preguntas frecuentes
¿Para qué sirve un récord CAA?
Un registro CAA es una política pública en su DNS que declara qué Autoridades de Certificación específicas están autorizadas a emitir certificados SSL/TLS para su dominio.
¿Necesito un registro CAA para mi dominio?
No, no es obligatorio para que un sitio web funcione. Pero sin uno, cualquier CA puede emitir un certificado para su dominio si una solicitud pasa su validación. Esto crea un riesgo potencial para la seguridad.
¿Puedo tener varios registros CAA?
Por supuesto. Si utiliza más de una entidad emisora de certificados, sólo tiene que crear un registro CAA de emisión o emisión distinto para cada proveedor autorizado.
¿Qué ocurre si no consigo un récord de la CAA?
Si no tiene registro de CAA, básicamente le está diciendo al mundo que no tiene preferencia. Esto significa que cualquiera de los cientos de CAA puede emitir un certificado para su dominio, lo que aumenta significativamente la superficie para una posible emisión errónea, ya sea accidental o maliciosa.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- ¿Qué es un comprobador de entregabilidad del correo electrónico? Mejorar las tasas de bandeja de entrada - 13 de noviembre de 2025
- Guía de configuración de SPF, DKIM y DMARC de cPanel - 13 de noviembre de 2025
- Cómo comprobar la entregabilidad del correo electrónico: Herramientas y consejos - 11 de noviembre de 2025
