Hoy en día, cuando casi todo el mundo adopta HTTPS, pueden producirse muchos intentos de fraude que pueden provocar emisiones erróneas de certificados.
Para evitar esto, con la ayuda de encontró una solución: el registro CAA.
La Autorización de autoridad de certificación (CAA) es un registro DNS que permite al titular de un nombre de dominio especificar las Autoridades de certificación (CA) preferidas para emitir certificados para ese dominio, por lo que no hay otras CA autorizadas para hacerlo.
El 22 de febrero de 2017, los controles de la CAA se hicieron obligatorios debido a la votación de la CAB. Se pueden encontrar más detalles.
Por lo tanto, ahora, antes de emitir un certificado para algún dominio, las CA deben verificar si hay registros CAA presentes en este dominio y rechazar la emisión si un registro CAA está configurado con otra preferencia de CA. Sin embargo, si no hay un registro CAA configurado, aún pueden emitir uno.
Ahora podemos ver que las razones detrás del uso de un registro CAA pueden ser las siguientes:
– Quiere limitar su dominio para que solo sus autoridades certificadoras de confianza emitan un certificado.
– Quiere que una autoridad certificadora implemente comprobaciones adicionales para reducir el riesgo de una emisión errónea de certificados.
Hay algunos tipos de registros CAA con diferentes parámetros que tienen sus propios propósitos diferentes. Se describen a continuación:
ejemplo.com. EN CAA 0 número “comodoca.com”
El registro CAA configurado anteriormente permite que Comodo CA (ahora) sea un emisor de certificados para ejemplo.com.
Tenga en cuenta que un registro CAA sin ninguna CA especificada en el parámetro 'emisión' restringirá la emisión de certificados para el nombre de dominio en cuestión:
Además, tenga en cuenta que configurar una CA en el formato que usted prefiera puede provocar el rechazo de un intento de emisión de certificado por parte de otra.
ejemplo.com. EN CAA 0 número salvaje “comodoca.com”
Este registro anterior permite prácticamente lo mismo, pero debe usarse cuando se va a emitir un dominio para el dominio ejemplo.com.
ejemplo.com. EN CAA 0 iodef “mailto:admin@example.com”
ejemplo.com. EN CAA 0 iodef “https://admin.example.com”
El registro 'iodef' es el registro que define la forma en que se notificará al titular del dominio en caso de cualquier infracción de la política de emisión detectada por el Emisor del Certificado.
Para configurar el registro CAA deseado, debe verificar si su proveedor de DNS permite la implementación del registro CAA. Este enlace (https://sslmate.com/caa/support) puede resultar útil.
Si usa Cloudflare, los registros CAA también se pueden configurar allí. Puede encontrar la guía en https://support.cloudflare.com/hc/en-us/articles/115000310792-Configuring-CAA-Records-
podría usarse para generar el registro CAA.
Puede encontrar información adicional sobre cómo CAA trata los diferentes tipos de apuntamiento de dominio.
Notas:
- Si el dominio utiliza Basic, Premium DNS o FreeDNS, el registro CAA se puede agregar a través de “DNS avanzado” como se describe en la siguiente sección.
- Si apunta al DNS de Web Hosting, el registro se puede agregar a través de la zona DNS a través de cPanel y WHM, se puede encontrar la configuración de registro para cPanel.
- Para crear el registro a través de API, siga .
Cómo configurar el CAA para el dominio usando Basic/FreeDNS/PremiumDNS
- Inicie sesión en su cuenta de (la opción Iniciar sesión está disponible en el encabezado de la página).
- Seleccione Lista de dominios en la barra lateral izquierda y haga clic en el botón Administrar al lado de su dominio.
- Navegue a la pestaña DNS avanzado en la parte superior de la página.
- Busque la sección Registros del host y haga clic en el botón Agregar nuevo registro.
- Seleccione Registro CAA para Tipo.
- Especifique el nombre de dominio o subdominio correspondiente en el campo Host.
- Seleccione el valor de etiqueta requerido en el menú desplegable.
Nota: La etiqueta puede tener uno de los siguientes valores:
problema: se utiliza principalmente para un certificado de dominio único y se aplica al dominio (@) o subdominio especificado en el campo Host.
issueswild: se utiliza principalmente para los certificados comodín y se aplica al dominio (@) especificado en el campo Host y a todos sus subdominios.
iodef: se utiliza junto con la dirección de correo electrónico correspondiente especificada en Valor y una CA debe utilizar este contacto para notificar a un cliente si esta CA detecta alguna infracción de la política de emisión.
- Especifique “comodoca.com” en el campo Valor para todos los certificados de Comodo (ahora Sectigo).
Nota: los valores “sectigo.com” y “trust-provider.com” también funcionan para los certificados de Sectigo.
- Guarde los cambios haciendo clic en Guardar todos los cambios.
- ¡Eso es todo!
Facebook Comments
Disqus