Defaults.Exposed › Soluciones › Registros CAA

Cómo arreglar Registros CAA

Un registro CAA es una breve instrucción en la configuración de tu dominio que nombra qué empresas de certificados pueden emitir el certificado de seguridad del «candado» para tu sitio web. Con él activado, ninguna otra empresa puede crear sin ruido un certificado válido a tu nombre.

En resumen, para tu negocio: Sin un registro CAA, casi cualquiera de los cientos de empresas de certificados del mundo puede emitir un certificado del candado genuino y de plena confianza para tu dominio, permitiendo a un estafador levantar un clon impecable y de aspecto totalmente «seguro» de tu sitio para cosechar los inicios de sesión y los datos de tarjeta de tus clientes, sin nada en pantalla que les advierta.

Lo que esto te puede costar

Un estafador obtiene un certificado real para una copia de tu sitio, de modo que muestra el candado verde y HTTPS: tus clientes no ven nada raro, escriben sus contraseñas y números de tarjeta, y solo te enteras cuando empiezan los contracargos y las llamadas furiosas.
Tus clientes caen víctimas de phishing a través de una imitación pixel a pixel de tu página de inicio de sesión; las consecuencias —reembolsos, carga de soporte, daño reputacional— recaen sobre tu marca aunque tu sitio real nunca se tocara.
El equipo de seguridad o de compras de un cliente potencial hace una comprobación rápida sobre tu dominio antes de firmar, no ve protección CAA y te marca por lo bajo como «débil en lo básico», poniendo en riesgo un acuerdo por un ajuste que se añade en cinco minutos.
Una de las empresas de certificados del mundo se ve comprometida (esto ha pasado repetidamente: DigiNotar, Comodo, Symantec) y, como nunca dijiste quién puede actuar por ti, tu dominio queda expuesto a la que resulte ser el eslabón más débil.

Por qué importa. Ahora mismo la puerta está de par en par: cualquier empresa de certificados de la Tierra puede dar fe de un sitio que afirme ser el tuyo, hayas tratado con ella o no. Un registro CAA cierra esa puerta para que solo el proveedor que elegiste pueda emitir certificados: es la defensa más simple y barata que existe contra alguien que suplante a tu negocio en internet.

Registros CAA, en palabras llanas

Todo sitio web seguro tiene un certificado: lo que hay detrás del candado del navegador y del «https» al principio de tu dirección. Esos certificados los reparten firmas especializadas llamadas autoridades de certificación (CA): nombres como Let’s Encrypt, DigiCert, Sectigo, Google Trust Services. Cuando tu navegador ve un certificado válido, muestra el candado y le dice a tu cliente que la conexión es genuina y segura.

Esta es la parte que a la mayoría de los dueños de negocio nunca les han contado: por defecto, cientos de estas autoridades de certificación de todo el mundo están autorizadas, cada una, a emitir un certificado para tu dominio, hayas oído hablar de ellas o no. Un registro CAA (Certification Authority Authorization) es una nota de una línea que añades a la configuración DNS de tu dominio y que dice, en la práctica, «solo estos proveedores pueden emitir certificados para mí». Las reglas del sector obligan a toda autoridad de certificación legítima a comprobar esa nota antes de emitir, y a negarse si no están en tu lista.

Es la diferencia entre una puerta abierta por la que cualquiera puede pasar y una en la que solo las personas que has elegido tienen llave. Y no cuesta nada añadirlo.

Lo que esto puede costarte

El riesgo que un registro CAA cierra es la suplantación convincente. Cuando un estafador puede conseguir un certificado real para una copia de tu sitio, las señales de aviso habituales desaparecen: no hay candado roto, ni cartel de «no seguro», ni error de certificado. Todo parece correcto, que es exactamente lo que lo hace peligroso.

La falsificación impecable. Un estafador registra una dirección parecida (o compromete una ruta hacia tus clientes), consigue un certificado genuino y levanta un clon perfecto de tu página de inicio de sesión o de pago, candado incluido. Los clientes introducen contraseñas y números de tarjeta como de costumbre. Lo primero que sabes de ello es una oleada de contracargos, informes de fraude y llamadas furiosas.
La campaña de phishing en tu nombre. Los atacantes envían correos de «por favor, confirma tu cuenta» que enlazan a su clon certificado de tu sitio. Como la página parece totalmente segura, más gente cae. La limpieza —avisar a los clientes, reembolsos, horas de soporte, la incómoda explicación pública— recae toda sobre ti, aunque tus servidores reales nunca se tocaran.
El acuerdo que se estanca en una lista de comprobación. El equipo de seguridad o de compras de un cliente grande analiza tu dominio antes de firmar. «Sin registro CAA» aparece como un elemento rojo o ámbar junto a tu nombre. Técnicamente es algo menor, pero se lee como «no cubre lo básico» y puede ralentizar o hundir un contrato que de otro modo habrías ganado.
Pillado por la brecha de otro. Una autoridad de certificación con la que nunca has tratado se ve comprometida (esto no es hipotético: DigiNotar, Comodo y Symantec han tenido incidentes graves). Como nunca restringiste quién podía actuar por ti, el atacante puede conseguir un certificado válido para tu dominio a través de esa CA débil. Un registro CAA se lo habría negado.
El punto ciego del comodín. Incluso los negocios cuidadosos con su sitio principal a menudo se olvidan de los subdominios. Sin una regla issuewild, un atacante que pueda conseguir un certificado comodín obtiene, en la práctica, una llave para todos los subdominios que vayas a tener, a la vez.

Ninguno de estos casos requiere un ataque sofisticado a tus servidores. Aprovechan el hecho de que, sin un registro CAA, el sistema de certificados en general es simplemente demasiado confiado en tu nombre.

Qué es en realidad, y cómo es lo «bueno»

Un registro CAA vive en el DNS de tu dominio: la misma configuración que apunta tu dominio a tu sitio web y a tu correo. Cada registro tiene tres partes: una bandera, una etiqueta y un valor. Las etiquetas que importan son:

issue — nombra una autoridad de certificación autorizada a emitir certificados normales para tu dominio. Puedes tener varias, una por cada proveedor que uses legítimamente.
issuewild — controla los certificados comodín (un certificado que cubre todos los subdominios, p. ej. *.example.com). Si no usas comodín, el ajuste recomendado los bloquea por completo.
iodef — una dirección de contacto opcional donde recibirás aviso si una autoridad de certificación rechaza una solicitud por tu política CAA. Es tu aviso temprano de que alguien lo intentó.

Cómo es lo «bueno»: hay al menos un registro issue (o issuewild) presente, que nombra al proveedor o proveedores que realmente usas, con los comodín restringidos a un proveedor nombrado o bloqueados. Esa es la vara que mide esta comprobación: busca los registros CAA de tu dominio en varios resolvedores independientes y pasa cuando encuentra una política issue o issuewild real en su sitio. Un dominio sin ningún registro CAA se trata como la puerta abierta que es.

¿Esto afecta a mi nota? Sí. Un registro CAA ausente es un elemento puntuado y se marca con severidad media: es un hueco genuino, no solo algo deseable, porque deja abierta una vía real de suplantación. Añadir el registro cierra el hueco y resuelve el hallazgo.

Cómo solucionarlo (gratis, ~5 minutos)

Pásale este apartado a quien gestione tu dominio o tu sitio web: la solución es gratuita. Es un pequeño cambio DNS, no una reconstrucción. Solo cobramos si más adelante quieres que sigamos vigilando que el registro se mantiene en su sitio; añadirlo no cuesta nada.

Paso 1 — Averigua qué autoridad de certificación usas realmente. Este es el paso que conviene acertar, porque incluir el proveedor equivocado puede bloquear tu próxima renovación. Casos comunes:

Let’s Encrypt — usado por muchos hostings y paneles de control (cPanel, Plesk) → letsencrypt.org
Cloudflare (si emite tu certificado de borde) → letsencrypt.org, digicert.com, comodoca.com, pki.goog y ssl.com (Cloudflare usa varias CA de fondo; incluye las que muestra su panel, o su conjunto completo, para que las renovaciones nunca se rompan)
Google Workspace / Google Trust Services → pki.goog
DigiCert → digicert.com
Sectigo / Comodo → sectigo.com (y comodoca.com)
Microsoft 365 / Azure — Microsoft suele usar DigiCert para los certificados gestionados → digicert.com (confírmalo en tu portal)

Si tienes dudas, mira tu certificado actual en el navegador (clic en el candado → detalles del certificado → «Emitido por») para ver quién lo emitió.

Paso 2 — Inicia sesión en tu proveedor de DNS. Es donde viven los registros de tu dominio: normalmente tu registrador, tu hosting web o Cloudflare. Busca la sección de registros DNS y elige añadir un nuevo registro de tipo CAA (algunas interfaces lo etiquetan como tipo 257).

Paso 3 — Añade un registro issue por cada proveedor que uses. Para Let’s Encrypt, por ejemplo:

example.com.   CAA   0 issue "letsencrypt.org"

Añade una línea issue por cada proveedor legítimo. La mayoría de los paneles DNS te dan casillas separadas para la bandera (0), la etiqueta (issue) y el valor (el dominio de la CA), para que no escribas toda la línea a mano.

Paso 4 — Controla los certificados comodín. Si no usas comodín, bloquéalos del todo para que nadie pueda conseguir uno sin ruido:

example.com.   CAA   0 issuewild ";"

Si sí usas comodín, nombra el proveedor en su lugar: 0 issuewild "letsencrypt.org".

Paso 5 — (Recomendado) Añade una dirección de notificación. Para que te avisen cada vez que una CA rechace un intento, tu aviso temprano de que alguien lo intentó:

example.com.   CAA   0 iodef "mailto:[email protected]"

Paso 6 — Guarda y verifica. Ejecuta dig CAA example.com (o usa cualquier herramienta de consulta DNS en línea) y confirma que tus registros aparecen. Los cambios pueden tardar desde unos minutos hasta unas horas en extenderse por internet. Tu certificado actual y todas las renovaciones siguen funcionando mientras tanto: CAA solo gobierna la emisión nueva.

Notas rápidas por plataforma: En Cloudflare, DNS → Records → Add record → tipo CAA. En Google Workspace, gestionas el DNS en tu registrador (o en Cloud DNS si lo usas): añade ahí los registros CAA con pki.goog. En Microsoft 365, CAA no se pone en el centro de administración de M365; añádelo donde esté alojado el DNS de tu dominio, incluyendo tu CA de certificado gestionado (normalmente DigiCert). En hostings comunes (GoDaddy, Namecheap, etc.), está en el mismo panel DNS donde viven tus registros A y MX.

Errores habituales

Incluir la CA equivocada, u olvidar una. El mayor riesgo del mundo real no es la seguridad, es bloquear tus propias renovaciones. Si usas más de un emisor (p. ej. uno para el sitio principal y otro detrás de Cloudflare), inclúyelos todos. En la duda, incluye unos cuantos en los que confíes en lugar de demasiado pocos.
Poner issue pero ignorar los comodín. Un dominio que restringe los certificados normales pero no dice nada de los comodín sigue dejando abierta la vía comodín, más potente. Pon siempre también issuewild: o tu proveedor o ";" para bloquearlo.
Poner CAA en el nombre equivocado. La autoridad de certificación lee CAA para el nombre exacto que se está certificando, subiendo por el árbol. Ponerlo en la cima de tu dominio (el «ápice», p. ej. example.com) es lo correcto: cubre los subdominios por defecto salvo que un subdominio ponga el suyo.
Suponer que tu plataforma ya lo hizo. Cloudflare, Google y Microsoft gestionan certificados pero no añaden registros CAA por ti. A menos que los añadieras, tu dominio sigue abierto.
Tratarlo como algo de hacer una vez y olvidarse, sin monitorización. Una migración DNS posterior, un cambio de registrador o un «repaso» de registros pueden eliminar en silencio tu protección CAA. Conviene comprobar que sigue ahí tras cualquier cambio de DNS.

La capa técnica (pásasela a tu informático)

CAA está definido en el RFC 8659 y se hace cumplir bajo los Baseline Requirements del CA/Browser Forum: toda CA de confianza pública está obligada a comprobar CAA en el momento de la emisión. Los registros tienen la forma <flags> <tag> <value>, con las etiquetas issue, issuewild e iodef. Lo que satisface esta comprobación es una política issue o issuewild no vacía; la presencia de iodef por sí sola no lo hace (es informe, no autorización).

Una base sólida en el ápice:

example.com.   CAA   0 issue "letsencrypt.org"
example.com.   CAA   0 issuewild ";"
example.com.   CAA   0 iodef "mailto:[email protected]"

Notas para quien lo implemente:

Ascenso por el árbol CAA: las CA evalúan CAA desde el FQDN solicitado hacia arriba hasta el ápice, deteniéndose en el primer nombre con un registro CAA puesto. Un registro en el ápice protege, por tanto, todos los subdominios salvo que un subdominio publique el suyo, lo que puede hacer; útil si un subdominio concreto usa un emisor distinto.
El valor ; en issuewild significa «ninguna CA puede emitir comodín»: una denegación explícita. Úsalo siempre que los comodín no formen parte de tu configuración.
La bandera 0 es la bandera de criticidad del emisor; 0 (no crítica) es lo correcto para uso normal. Evita poner el bit crítico salvo que lo entiendas del todo, ya que una etiqueta crítica mal entendida puede hacer que CA conformes se nieguen a emitir.
Varios emisores: se permiten varios registros issue y son aditivos; incluye toda CA legítimamente presente en tu stack (incluidas las CA de fondo que use tu proveedor de CDN/borde) para evitar fallos de renovación.
Verificación: dig CAA example.com +short, o comprueba con las herramientas de prueba CAA del CA/Browser Forum. Esta comprobación en sí consulta CAA a través de varios resolvedores independientes (DNS local, luego Google, Cloudflare y Quad9 DNS-over-HTTPS como respaldo) y acepta la primera respuesta autoritativa, de modo que la caída de un solo resolvedor no producirá un falso «sin CAA».
Emparejamiento con DNSSEC: CAA le dice a las CA quién puede emitir; DNSSEC impide que la propia respuesta CAA se falsifique en tránsito. Son complementarios; para dominios de alto valor, usa ambos.

Configúralo en tu proveedor

Paso a paso para los proveedores más populares:

Preguntas frecuentes

No soy una persona técnica, ¿puedo encargarme de esto yo?

No necesitas entender el detalle, pero la solución es un pequeño cambio dentro de la configuración DNS de tu dominio, así que es mejor pasársela a quien gestione tu sitio web o tu dominio. Envíale el apartado «Cómo solucionarlo» de más abajo: es un cambio de cinco minutos y sin coste. Solo cobramos si más adelante quieres que sigamos vigilando que el registro se mantiene en su sitio; la solución en sí siempre es gratuita.

¿Añadir esto romperá mi sitio web o mi certificado?

No: siempre que incluyas el proveedor de certificados que realmente usas, todo sigue funcionando exactamente como antes. Un registro CAA no toca ni sustituye tu certificado actual; solo gobierna quién puede crear nuevos. La única forma de causar problemas es dejar a tu proveedor real fuera de la lista, lo que puede bloquear tu próxima renovación automática; los pasos de abajo están escritos específicamente para evitarlo.

Si los certificados se emiten automáticamente hoy en día, ¿por qué sigo necesitando esto?

Los certificados automáticos están bien y son cómodos; el problema es que el sistema está abierto a todos por defecto, incluido alguien que finja ser tú. Un registro CAA simplemente nombra a quién se permite, convirtiendo una puerta abierta en una con tu propia cerradura. Funciona junto a la emisión automática, no en contra de ella.

¿Esto afecta a mi posición en Google o a mi nota en este informe?

Afecta a tu nota de seguridad aquí: un registro CAA ausente es un elemento puntuado, marcado como un hueco de severidad media, porque deja abierta una vía real de suplantación. No es un factor directo de posicionamiento en Google, pero la suplantación y el phishing que previene son exactamente el tipo de incidentes que sí dañan la confianza y el tráfico. En cualquier caso, es una victoria rápida y gratuita.

¿Cuál es la diferencia entre «issue» e «issuewild»?

Un registro «issue» controla los certificados normales para tu dominio y sus subdominios. Un registro «issuewild» controla los certificados comodín: el único certificado que cubre todos los subdominios posibles a la vez (como *.example.com). Los comodín son más potentes y, por tanto, más arriesgados en las manos equivocadas, así que es buena práctica controlarlos por separado: si no usas comodín, bloquéalos del todo.

Usamos Cloudflare / Google Workspace / Microsoft 365, ¿eso ya lo cubre?

No automáticamente. Esas plataformas gestionan tus certificados por ti, pero a menos que hayas añadido registros CAA explícitamente, tu dominio sigue diciéndole al mundo «cualquier autoridad puede emitir». La buena noticia es que la solución es el mismo cambio DNS sencillo en todas ellas, y donde Cloudflare o tu hosting emite tu certificado, simplemente incluyes ese proveedor. Las notas por plataforma del apartado de solución cubren los casos comunes.