Herramientas de diagnóstico de red
Qué CAs pueden emitir certificados
DNS y registros
Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNSEntregabilidad de correo
Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTPRed y web
Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertosDominio
Consulta WHOIS Datos de registro de dominios, IPs y ASNsUn registro CAA (Certification Authority Authorization) permite que un dominio declare qué autoridades de certificación pueden emitir certificados para él. La CA/Browser Forum obliga a las CA a respetar estos registros, por lo que reducen el riesgo de mis-emisión: que una CA emita por error un certificado para tu dominio. CAA es una barrera de protección sencilla y potente para tus certificados TLS.
Un registro CAA nombra una autoridad de certificación permitida por su dominio. Antes de emitir, una CA conforme comprueba los registros CAA de tu dominio; si existen registros y ninguno lista esa CA, debe rechazar. El registro tiene tres partes: un flag, una etiqueta y un valor. Las etiquetas habituales son issue (autoriza a una CA a emitir certificados estándar), issuewild (controla específicamente los certificados comodín) e iodef (una URL o mailto donde las CA reportan violaciones de política). Por ejemplo, issue "letsencrypt.org" permite emitir solo a Let's Encrypt.
IPeek lista los registros CAA del dominio, cada uno con su etiqueta y valor. Lee las etiquetas issue para ver qué CA están autorizadas; un valor como "letsencrypt.org" o "digicert.com" nombra la autoridad permitida. Una etiqueta issuewild restringe quién puede emitir certificados comodín. Un valor issue de ";" (punto y coma) significa que ninguna CA está autorizada en absoluto. Si el dominio no tiene registros CAA, cualquier CA pública puede emitir, que es el valor permisivo por defecto. Comprueba que las CA listadas coincidan con los proveedores que realmente usas para tus certificados.
Sin CAA, cualquiera de las decenas de autoridades de certificación públicas puede emitir un certificado para tu dominio, así que basta con una única CA comprometida o engañada para que un atacante obtenga un certificado válido. CAA reduce esa superficie de ataque solo a las CA que nombras. Como la CA/Browser Forum exige que las CA comprueben CAA antes de emitir, la protección se aplica en todo el sector. Añade la etiqueta iodef y las CA autorizadas podrán notificarte intentos de violación de política, dándote un aviso temprano de que alguien intenta obtener un certificado que no debería.
Sin un registro CAA, cualquier autoridad de certificación de confianza pública puede emitir certificados para el dominio: el valor permisivo por defecto. Añadir registros CAA restringe la emisión solo a las CA que listes. Si te importa qué autoridades pueden certificar tu dominio, publica registros CAA; de lo contrario, la emisión queda abierta a todas las CA conformes.
Son las tres etiquetas estándar de CAA. issue autoriza a una CA nombrada a emitir certificados normales, issuewild controla específicamente la emisión de certificados comodín, e iodef da una URL o dirección mailto donde las CA reportan intentos de violación de política. Usar issue junto con iodef restringe quién puede certificar tu dominio y te alerta de las violaciones.
Sí. Según las reglas de la CA/Browser Forum, las CA de confianza pública están obligadas a comprobar los registros CAA de un dominio antes de emitir y deben rechazar si los registros no las autorizan. Esto hace de CAA un control aplicado, no una sugerencia. No detiene un certificado ya emitido, pero bloquea nuevas mis-emisiones por parte de autoridades conformes.
Publica un registro CAA issue separado por cada autoridad que quieras permitir. Por ejemplo, un registro con issue "letsencrypt.org" y otro con issue "digicert.com" autoriza a ambas. Las CA comprueban si algún registro las nombra, así que varios registros issue simplemente amplían el conjunto de autoridades permitidas sin dejar de excluir a todas las demás.
Sí, para eso sirve la etiqueta issuewild. issuewild gobierna quién puede emitir certificados comodín (como *.example.com), prevaleciendo sobre la etiqueta issue simple para los comodines. Podrías permitir que una CA emita certificados normales pero restringir o prohibir los comodines, o viceversa, combinando registros issue e issuewild de forma adecuada.