¿Qué es un registro CAA? Guía de seguridad DNS
por
Última actualización: Tiempo de lectura: 7 minutos
Puntos clave
- A registro CAA define qué Autoridades de Certificación pueden emitir certificados SSL/TLS para su dominio.
- En impide la emisión no autorizada de certificadosreduciendo el riesgo de ataques de suplantación de identidad.
- Aplicación basada en DNS garantiza que sólo las CA de la lista puedan validar y emitir certificados para su sitio.
- Se alinea con los objetivos de marcos de cumplimiento como NIST y PCI DSS al demostrar un control sólido de la gestión de certificados.
- Combinado con SPF, DKIM y DMARC, CAA crea una defensa de espectro completo para su seguridad web y de correo electrónico.
Un registro de autorización de autoridad de certificación (CAA) es un tipo de registro DNS que permite a los propietarios de dominios especificar qué autoridades de certificación (CA) están autorizadas a emitir certificados SSL/TLS para su dominio. En términos sencillos, actúa como un mecanismo de control que limita la emisión de certificados a proveedores de confianza, lo que reduce el riesgo de certificados no autorizados o fraudulentos.
Si se pregunta qué es un registro CAA, básicamente es una forma de proteger la identidad digital de su dominio a nivel de DNS. Sin un registro CAA, cualquier CA de confianza puede emitir un certificado para su dominio, lo que podría permitir la suplantación de identidad o el uso indebido. Un registro CAA correctamente configurado refuerza la credibilidad del sitio, evita la emisión de certificados no autorizados y añade una importante capa de seguridad a su estrategia global de protección de dominios.
¿Qué es un registro CAA?
Un registro CAA es una simple entrada en su DNS que actúa como su lista personal y pública de porteros. Le dice explícitamente al mundo: "Sólo estas Autoridades de Certificación específicas y preaprobadas están autorizadas a emitir certificados SSL/TLS para mi dominio".
No se trata de una sugerencia de cortesía, sino de una norma obligatoria para las autoridades de certificación, tal y como se define en el Foro CA/Browser Requisitos básicos. Cada CA debe comprobar su registro CAA antes de emitir un certificado, y si no están autorizados, deben rechazar la emisión.
¿Por qué es importante la CEA?
En un mundo sin hackers, una política de puertas abiertas habría estado bien. Pero la web es una ciudad bulliciosa y caótica. Una política de puertas firmes, reforzada por un registro de CAA, es esencial por varias razones:
Evita los suplantadores de identidad.
Los registros CAA impiden que las CA no autorizadas emitan certificados fraudulentos para su dominio, lo que ayuda a impedir que los estafadores digitales monten un escaparate falso convincente junto al suyo.
Protege tu reputación
Un certificado falsificado puede utilizarse en ataques de phishing o esquemas "MITM Hombre en el medio" por sus siglas en inglés, vinculando su marca de confianza a actividades delictivas. Un registro CAA es su primera línea de defensa contra este daño reputacional.
Aplica tus estándares de seguridad.
Usted elige qué CA cumplen sus normas de seguridad e investigación de antecedentes. CAA garantiza que nadie más, ni un socio comprometido, ni un empleado deshonesto, ni un atacante astuto, pueda eludir su elección.
Es una marca de cumplimiento.
Para las organizaciones que se adhieren a marcos de seguridad estrictos como NIST o PCI DSS, demostrar el control sobre la emisión de certificados no es sólo una buena práctica, sino a menudo un requisito.
¿Cómo funciona un registro CAA?
Cuando una CA recibe una solicitud de certificado para su dominio, comprueba su DNS en busca del registro CAA. El registro en sí es una instrucción clara, compuesta de tres partes: una bandera, una etiqueta y un valor.
El expediente de la CEA sigue esta estructura:
example.com. IN CAA <flag> <tag> <value>
Normalmente, el indicador es 0, y pueden coexistir varios registros, uno por cada instrucción de autorización.
- Indicador: El indicador se suele poner a 0. Sin embargo, si se pone a 128 (el indicador "crítico"), la autoridad de certificación deniega la emisión si no reconoce la etiqueta, lo que añade otro nivel de seguridad.
- Etiqueta: Esta es la instrucción específica. Hay tres comandos principales:
- número: Concede a una CA permiso para emitir certificados estándar.
- issuewild: Concede permiso para comodín comodín (por ejemplo *.ejemplo.com). Puede asignarse a la misma CA o a una CA distinta de la CA emitir etiqueta.
- iodef: Se trata de la instrucción "notificar un incidente". Proporciona una dirección de correo electrónico a la que una CA puede enviar un aviso si alguien intentó obtener un certificado de ellos sin autorización.
- Valor: Es el nombre de la CA autorizada o la dirección de correo electrónico de notificación.
| Sintaxis del registro CAA | Qué significa |
|---|---|
| ejemplo.com. IN CAA 0 issue "digicert.com" | "Sólo DigiCert puede emitir pases estándar para este recinto". |
| ejemplo.com. IN CAA 0 issuewild "sectigo.com" | "Para los pases comodín de acceso total, sólo Sectigo está en la lista". |
| ejemplo.com. IN CAA 0 iodef "mailto:[email protected]" | "Si alguien más intenta conseguir un pase, envíe un email al responsable de seguridad inmediatamente". |
Etiquetas CAA comunes y su función
Los registros CAA utilizan etiquetas específicas para controlar cómo las autoridades de certificación pueden emitir certificados SSL/TLS para su dominio. Cada etiqueta tiene un propósito distinto y se aplica a diferentes escenarios de certificación:
-problema
La etiqueta de emisión autoriza a determinadas autoridades de certificación a emitir certificados SSL/TLS estándar para su dominio. Se utiliza cuando se desea permitir explícitamente a una o varias CA de confianza y bloquear a todas las demás para que no emitan certificados.
-emitir salvaje
La etiqueta issuewild controla qué autoridades de certificación pueden emitir certificados comodín para su dominio (por ejemplo, *.example.com). Esta etiqueta solo es relevante si utiliza certificados comodín y desea controlar por separado su emisión.
-iodef
La etiqueta iodef define dónde deben enviar los informes las autoridades de certificación si se produce un intento de emisión de certificados no autorizados o no válidos. Estos informes suelen enviarse a una dirección de correo electrónico o URL, lo que ayuda a los propietarios de dominios a detectar y responder a posibles abusos.
En conjunto, estas etiquetas proporcionan a los propietarios de dominios un control mucho más estricto sobre cómo se emiten los certificados, al tiempo que facilitan la detección temprana de intentos de uso indebido o configuración incorrecta, antes de que se conviertan en algo más grave.
Cómo configurar un registro CAA
La configuración de un registro CAA se realiza en su consola de gestión de DNS.
1. Introduzca sus DNS: Acceda a su registrador de dominios o proveedor de DNS.
2. Publicar una nueva regla: Busque el área para añadir un nuevo registro DNS.
3. Escriba la instrucción:
-
- Tipo: CAA
- Host/Nombre: Su dominio (por ejemplo ejemplo.com)
- Etiqueta Elija tema, issuewildo iodef.
- Valor: Introduzca el nombre de dominio de la CA entre comillas (por ejemplo, "digicert.com").
- Bandera: Ajústelo a 0.
4. Publicar y verificar: Guarde el registro. Los cambios de DNS pueden tardar en propagarse por Internet. Utilice el comprobador de CAA para asegurarse de que su política es visible y correcta.
Cómo puede ayudar PowerDMARC
El Comprobador de Autorizaciones de Autoridades de Certificación de PowerDMARC es la herramienta que utiliza para inspeccionar su propia política de puertas. Es una utilidad potente y gratuita diseñada para verificar al instante sus registros de CAA y confirmar que solo las CA que ha elegido están en la lista.
Paso 1: Regístrese gratis en PowerDMARC
Registrarse le da acceso a todo un conjunto de herramientas de DNS y autenticación de correo electrónico para mantener su dominio seguro.
Paso 2: Vaya a Herramientas de análisis > Herramientas de búsqueda > CAA Checker
En el menú principal, vaya a Herramientas de análisis. Encontrará el CAA Checker en la pestaña Herramientas de búsqueda.
Paso 3: Introduzca su nombre de dominio
Introduzca el dominio que desea inspeccionar (p. ej, powerdmarc.com) en la caja de herramientas y pulsa el botón "Buscar".
Paso 4: Revisar la lista de autorizados
La herramienta consultará inmediatamente su DNS y mostrará su política de CAA activa. Puede revisar las CA autorizadas y detectar fácilmente cualquiera que no debería estar allí. La herramienta también resalta el TTL (Time to Live) de cada registro.
Paso 5: Solucionar cualquier problema
Si el comprobador detecta algún error de configuración o entradas no autorizadas, puede utilizar la información detallada para volver a su proveedor de DNS y solucionar el problema.
Importante: Un buen comprobador de CAA te ayudará a evitar la emisión de certificados no autorizados, a potenciar la seguridad del dominio, a identificar y solucionar problemas de configuración de forma eficaz, así como a garantizar el cumplimiento y una mejor gestión de los certificados SSL.
Errores de novato que hay que evitar
- Errores tipográficos en la lista: Escribir mal el nombre de una CA ("digicert.co" en lugar de "digicert.com") las bloqueará directamente.
- Olvidar el Informe iodef: No decirle a tu gorila dónde enviar los informes de incidentes significa que nunca sabrás si alguien está poniendo a prueba tu seguridad.
- Políticas de talla única: Si utiliza una CA para los dominios estándar y otra para los comodines, necesitará dos registros distintos (issue y issuewild).
Cuándo se debe utilizar un registro CAA
Se recomienda encarecidamente utilizar un registro CAA para cualquier dominio que utilice certificados SSL/TLS, especialmente cuando el uso indebido de los certificados podría dar lugar a problemas de seguridad, confianza o cumplimiento normativo. Al restringir las autoridades de certificación que pueden emitir certificados para su dominio, CAA reduce el riesgo de emisión de certificados no autorizados o accidentales.
CAA es especialmente importante para empresas que gestionan múltiples dominios o subdominios, negocios de comercio electrónico que manejan datos confidenciales de clientes y organizaciones que operan sitios web orientados al cliente, donde la confianza es fundamental. También es muy valioso para empresas que trabajan con múltiples equipos o proveedores, donde la gestión de certificados puede estar distribuida y ser más difícil de controlar de forma centralizada.
El control de la autorización CA es esencial en entornos en los que un certificado comprometido o emitido incorrectamente podría permitir la suplantación de identidad, los ataques de intermediarios o el daño a la marca. Incluso las organizaciones más pequeñas y los sitios web informativos se benefician de la aplicación de restricciones CAA, ya que cualquier dominio que utilice SSL depende de la integridad del certificado. La implementación de un registro CAA proporciona una capa adicional de control y visibilidad que refuerza la seguridad general del dominio, independientemente del tamaño de la organización.
Conclusión
Controle totalmente quién emite certificados SSL/TLS para su dominio. Un registro CAA actúa como su lista autorizada de Autoridades de Certificación aprobadas y bloquea a cualquier otra persona de crear un certificado en su nombre.
Esta es su gran defensa contra el phishing y los ataques de suplantación de marca que pueden erosionar la confianza de los clientes. Pero no basta con crear el registro. Para asegurarse de que funciona correctamente, es necesaria una verificación periódica. PowerDMARC le proporciona las herramientas expertas que necesita no sólo para comprobar la configuración de su CAA, sino también para desplegar una defensa completa y multicapa que integre la seguridad web y del correo electrónico.
No deje al azar su proceso de emisión de certificados. Regístrese en PowerDMARC hoy mismo para utilizar nuestro comprobador de CAA gratuito, validar su postura de seguridad y obtener visibilidad y control completos sobre los protocolos de autenticación de su dominio.
Preguntas más frecuentes (FAQ)
¿Para qué sirve un récord CAA?
Un registro CAA es una política pública en su DNS que declara qué Autoridades de Certificación específicas están autorizadas a emitir certificados SSL/TLS para su dominio.
¿Necesito un registro CAA para mi dominio?
No, no es obligatorio para que un sitio web funcione. Pero sin uno, cualquier CA puede emitir un certificado para su dominio si una solicitud pasa su validación. Esto crea un riesgo potencial para la seguridad.
¿Puedo tener varios registros CAA?
Por supuesto. Si utiliza más de una entidad emisora de certificados, sólo tiene que crear un registro CAA de emisión o emisión distinto para cada proveedor autorizado.
¿Qué ocurre si no consigo un récord de la CAA?
Si no tiene registro de CAA, básicamente le está diciendo al mundo que no tiene preferencia. Esto significa que cualquiera de los cientos de CAA puede emitir un certificado para su dominio, lo que aumenta significativamente la superficie para una posible emisión errónea, ya sea accidental o maliciosa.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- DMARCbis explicado: qué va a cambiar y cómo prepararse - 16 de abril de 2026
- El formato del número de serie de SOA no es válido: causas y cómo solucionarlo - 13 de abril de 2026
- Cómo enviar correos electrónicos seguros en Gmail: guía paso a paso - 7 de abril de 2026
