Defaults.Exposed › Configuración › CAA

Cómo configurar un registro CAA en Cloudflare

Añade un registro CAA en Cloudflare para controlar qué autoridades de certificación pueden emitir certificados SSL para tu dominio.

Por qué le importa a tu negocio

Un registro CAA (Autorización de Autoridad de Certificación) indica qué autoridades de certificación —las empresas que emiten los certificados SSL/TLS que están detrás del candado del navegador— pueden emitir un certificado para tu dominio. Cualquier autoridad que cumpla las reglas debe consultar este registro primero y rechazar la solicitud si no figura en la lista.

Dicho en palabras llanas: sin un registro CAA, cualquiera de los cientos de autoridades de certificación que existen en el mundo podría ser engañada o cometer un error y entregar a alguien un certificado válido para tu dominio, que un atacante podría usar para suplantar tu sitio web de forma muy convincente. Un registro CAA cierra esa puerta al decir solo estas autoridades, nadie más. Es gratis y se hace en unos minutos.

Confirma que Cloudflare gestiona tu DNS

Esto solo funciona si Cloudflare responde al DNS de tu dominio. Cloudflare es tu proveedor de DNS, y su DNS solo está activo cuando los servidores de nombres de tu dominio apuntan a los servidores de nombres de Cloudflare que aparecen en tu panel. Abre tu dominio en Cloudflare y revisa la página Overview (Resumen) para confirmar que Cloudflare está activo. Si tus servidores de nombres apuntan a otro sitio, añade el registro CAA en el proveedor que realmente gestione tu DNS.

Conoce primero tu autoridad de certificación

Antes de añadir nada, averigua qué autoridad emite tu certificado, o corres el riesgo de dejar fuera a tu propio proveedor. Valores habituales:

• letsencrypt.org — Let’s Encrypt (usada por la mayoría de certificados gratuitos y automatizados)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Una nota sobre Cloudflare: si usas el SSL propio de Cloudflare (la configuración con proxy y la nube naranja), Cloudflare emite certificados a través de varias autoridades en tu nombre, así que asegúrate de que cualquier registro CAA que añadas siga permitiéndolas, o deja que Cloudflare gestione el CAA por ti. Si no estás seguro, pregunta a quien configuró tu alojamiento, o revisa el certificado en tu navegador (haz clic en el candado y consulta el emisor del certificado).

Paso a paso en Cloudflare

1. Inicia sesión en Cloudflare y selecciona tu dominio.
2. En el menú de la izquierda, ve a la configuración de DNS (busca DNS / Records).
3. Haz clic en Add record (Añadir registro).
4. Pon Type en CAA.
5. En el campo Name, introduce: @ El @ representa la raíz de tu dominio. Cloudflare añade el dominio por ti, así que no escribas el nombre de tu dominio a continuación.
6. Cloudflare muestra los campos CAA como menús amigables. Configúralos así:
   • Flags: 0
   • Tag (etiqueta): elige Only allow specific hostnames (esta es la etiqueta issue)
   • CA domain name (el valor): letsencrypt.org
7. Deja el TTL en Auto.
8. Haz clic en Save.

Permitir más de una autoridad de certificación

La mayoría de los dominios usan más de una autoridad con el tiempo: por ejemplo, un certificado gratuito hoy y uno de pago más adelante, o uno distinto para otro servicio. Para permitir varias, añade un registro CAA independiente para cada una. Todos usan el mismo nombre @, los mismos flags 0 y la misma etiqueta issue; solo cambia el valor del dominio de la CA:

• un registro con valor letsencrypt.org
• un registro con valor digicert.com

Juntos dicen ambas autoridades están permitidas, ninguna otra. No los combinas en un único registro.

Detalles de Cloudflare que la gente falla

• El mayor error es dejar fuera a tu propia autoridad. Si añades un registro CAA que solo lista digicert.com pero tu certificado en realidad se renueva con Let’s Encrypt, la próxima renovación fallará en silencio y tu candado puede romperse semanas después. Incluye siempre todas las autoridades que realmente uses antes de guardar.
• Cuidado con el SSL propio de Cloudflare. Si tu tráfico pasa por Cloudflare (nube naranja), Cloudflare necesita poder obtener certificados de borde. Añadir un registro CAA que excluya las autoridades que usa Cloudflare puede romper eso; ante la duda, permite Let’s Encrypt y Google Trust Services (pki.goog) junto a la tuya, o deja el CAA en manos de Cloudflare.
• El nombre es @, no tu dominio. Usa @ para la raíz; Cloudflare añade el dominio por sí mismo.
• La redacción de la etiqueta cambia. Cloudflare etiqueta issue como Only allow specific hostnames en su menú. Esa es la opción correcta para uso normal.
• Flags es 0 para un registro normal. El otro valor, 128, es un modo estricto; úsalo solo a propósito.
• Usa el dominio escueto, no una URL. El valor es letsencrypt.org, nunca https://letsencrypt.org ni www..
• Sin proxy en un registro CAA. El CAA es un registro DNS puro: aquí no hay interruptor de nube naranja/gris del que preocuparse.
• Dale tiempo. Los cambios de DNS pueden tardar desde unos minutos hasta un par de horas en surtir efecto. Los certificados existentes siguen funcionando; el CAA solo se comprueba cuando se emite o renueva uno nuevo.

Comprueba que funcionó

Una vez guardado y propagado, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si tu registro CAA está en su sitio y qué autoridades has permitido.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.