Herramientas de diagnóstico de red

Consulta CAA

Qué CAs pueden emitir certificados

esc
Tu IP 8.8.8.8 o google.com

DNS y registros

Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNS

Entregabilidad de correo

Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTP

Red y web

Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertos

Dominio

Consulta WHOIS Datos de registro de dominios, IPs y ASNs

¿Qué es un registro CAA?

Un registro CAA (Certification Authority Authorization) permite que un dominio declare qué autoridades de certificación pueden emitir certificados para él. La CA/Browser Forum obliga a las CA a respetar estos registros, por lo que reducen el riesgo de mis-emisión: que una CA emita por error un certificado para tu dominio. CAA es una barrera de protección sencilla y potente para tus certificados TLS.

Cómo funcionan los registros CAA

Un registro CAA nombra una autoridad de certificación permitida por su dominio. Antes de emitir, una CA conforme comprueba los registros CAA de tu dominio; si existen registros y ninguno lista esa CA, debe rechazar. El registro tiene tres partes: un flag, una etiqueta y un valor. Las etiquetas habituales son issue (autoriza a una CA a emitir certificados estándar), issuewild (controla específicamente los certificados comodín) e iodef (una URL o mailto donde las CA reportan violaciones de política). Por ejemplo, issue "letsencrypt.org" permite emitir solo a Let's Encrypt.

Cómo leer tus resultados de la consulta CAA

IPeek lista los registros CAA del dominio, cada uno con su etiqueta y valor. Lee las etiquetas issue para ver qué CA están autorizadas; un valor como "letsencrypt.org" o "digicert.com" nombra la autoridad permitida. Una etiqueta issuewild restringe quién puede emitir certificados comodín. Un valor issue de ";" (punto y coma) significa que ninguna CA está autorizada en absoluto. Si el dominio no tiene registros CAA, cualquier CA pública puede emitir, que es el valor permisivo por defecto. Comprueba que las CA listadas coincidan con los proveedores que realmente usas para tus certificados.

Por qué los registros CAA mejoran la seguridad de los certificados

Sin CAA, cualquiera de las decenas de autoridades de certificación públicas puede emitir un certificado para tu dominio, así que basta con una única CA comprometida o engañada para que un atacante obtenga un certificado válido. CAA reduce esa superficie de ataque solo a las CA que nombras. Como la CA/Browser Forum exige que las CA comprueben CAA antes de emitir, la protección se aplica en todo el sector. Añade la etiqueta iodef y las CA autorizadas podrán notificarte intentos de violación de política, dándote un aviso temprano de que alguien intenta obtener un certificado que no debería.

Preguntas frecuentes

¿Qué pasa si un dominio no tiene registro CAA?

Sin un registro CAA, cualquier autoridad de certificación de confianza pública puede emitir certificados para el dominio: el valor permisivo por defecto. Añadir registros CAA restringe la emisión solo a las CA que listes. Si te importa qué autoridades pueden certificar tu dominio, publica registros CAA; de lo contrario, la emisión queda abierta a todas las CA conformes.

¿Qué son las etiquetas issue, issuewild e iodef?

Son las tres etiquetas estándar de CAA. issue autoriza a una CA nombrada a emitir certificados normales, issuewild controla específicamente la emisión de certificados comodín, e iodef da una URL o dirección mailto donde las CA reportan intentos de violación de política. Usar issue junto con iodef restringe quién puede certificar tu dominio y te alerta de las violaciones.

¿Tienen las autoridades de certificación que obedecer los registros CAA?

Sí. Según las reglas de la CA/Browser Forum, las CA de confianza pública están obligadas a comprobar los registros CAA de un dominio antes de emitir y deben rechazar si los registros no las autorizan. Esto hace de CAA un control aplicado, no una sugerencia. No detiene un certificado ya emitido, pero bloquea nuevas mis-emisiones por parte de autoridades conformes.

¿Cómo permito más de una autoridad de certificación?

Publica un registro CAA issue separado por cada autoridad que quieras permitir. Por ejemplo, un registro con issue "letsencrypt.org" y otro con issue "digicert.com" autoriza a ambas. Las CA comprueban si algún registro las nombra, así que varios registros issue simplemente amplían el conjunto de autoridades permitidas sin dejar de excluir a todas las demás.

¿Pueden los registros CAA controlar los certificados comodín por separado?

Sí, para eso sirve la etiqueta issuewild. issuewild gobierna quién puede emitir certificados comodín (como *.example.com), prevaleciendo sobre la etiqueta issue simple para los comodines. Podrías permitir que una CA emita certificados normales pero restringir o prohibir los comodines, o viceversa, combinando registros issue e issuewild de forma adecuada.

Herramientas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어