Defaults.Exposed › Configuración › CAA

Cómo configurar un registro CAA en GoDaddy

Añade un registro CAA en GoDaddy para controlar qué autoridades de certificación pueden emitir certificados SSL para tu dominio.

Por qué le importa a tu negocio

Un registro CAA (Autorización de Autoridad de Certificación) indica qué autoridades de certificación —las empresas que emiten los certificados SSL/TLS que están detrás del candado del navegador— pueden emitir un certificado para tu dominio. Cualquier autoridad que cumpla las reglas debe consultar este registro primero y rechazar la solicitud si no figura en la lista.

Dicho en palabras llanas: sin un registro CAA, cualquiera de los cientos de autoridades de certificación que existen en el mundo podría ser engañada o cometer un error y entregar a alguien un certificado válido para tu dominio, que un atacante podría usar para suplantar tu sitio web de forma muy convincente. Un registro CAA cierra esa puerta al decir solo estas autoridades, nadie más. Es gratis y se hace en unos minutos.

Confirma que GoDaddy gestiona tu DNS

Esto solo funciona si GoDaddy responde al DNS de tu dominio. GoDaddy vende dominios y también aloja DNS, pero son cosas distintas: los servidores de nombres (nameservers) de tu dominio deben apuntar a GoDaddy para que los registros que añadas aquí estén activos. Inicia sesión, abre tu dominio y comprueba que los servidores de nombres sean los propios de GoDaddy. Si apuntan a otro sitio, añade el registro CAA en el proveedor que realmente gestione tu DNS.

Conoce primero tu autoridad de certificación

Antes de añadir nada, averigua qué autoridad emite tu certificado, o corres el riesgo de dejar fuera a tu propio proveedor. Valores habituales:

• letsencrypt.org — Let’s Encrypt (usada por la mayoría de certificados gratuitos y automatizados)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Si no estás seguro, pregunta a quien configuró tu alojamiento, o revisa el certificado en tu navegador (haz clic en el candado y consulta el emisor del certificado).

Paso a paso en GoDaddy

1. Inicia sesión en GoDaddy y abre el Portafolio de dominios (o Mis productos).
2. Localiza tu dominio y abre su página de gestión de DNS (busca DNS o Administrar DNS).
3. Bajo la lista de registros, haz clic en Agregar (o Agregar nuevo registro).
4. Pon Tipo en CAA.
5. En el campo Nombre (o Host), introduce: @ El @ representa la raíz de tu dominio. No escribas aquí el nombre de tu dominio.
6. Pon Flags (indicadores) en: 0
7. Pon Tag (etiqueta) en: issue
8. En el campo Valor, introduce el identificador de tu autoridad de certificación, por ejemplo: letsencrypt.org
9. Deja el TTL en el valor predeterminado (1 hora está bien).
10. Haz clic en Guardar.

Permitir más de una autoridad de certificación

La mayoría de los dominios usan más de una autoridad con el tiempo: por ejemplo, un certificado gratuito hoy y uno de pago más adelante, o uno distinto para otro servicio. Para permitir varias, añade un registro CAA independiente para cada una. Todos usan el mismo nombre @, los mismos flags 0 y la misma etiqueta issue; solo cambia el valor:

• un registro con valor letsencrypt.org
• un registro con valor digicert.com

Juntos dicen ambas autoridades están permitidas, ninguna otra. No los combinas en un único registro.

Detalles de GoDaddy que la gente falla

• El mayor error es dejar fuera a tu propia autoridad. Si añades un registro CAA que solo lista digicert.com pero tu certificado en realidad se renueva con Let’s Encrypt, la próxima renovación fallará en silencio y tu candado puede romperse semanas después. Incluye siempre todas las autoridades que realmente uses antes de guardar.
• El nombre es @, no tu dominio. Escribir el nombre completo de tu dominio en el campo Nombre crea el registro en el lugar equivocado. Usa @ para la raíz.
• Flags es 0 para un registro normal. El otro valor, 128, es un modo estricto que hace que una autoridad no conforme rechace la solicitud de plano; úsalo solo a propósito. Para uso normal, 0.
• Usa el dominio escueto, no una URL. El valor es letsencrypt.org, nunca https://letsencrypt.org ni www..
• No añadas comillas propias. Introduce el valor sin más; GoDaddy se encarga de cualquier entrecomillado.
• Dale tiempo. Los cambios de DNS pueden tardar desde unos minutos hasta un par de horas en surtir efecto. Los certificados existentes siguen funcionando; el CAA solo se comprueba cuando se emite o renueva uno nuevo.

Comprueba que funcionó

Una vez guardado y propagado, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si tu registro CAA está en su sitio y qué autoridades has permitido.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.