Defaults.Exposed › Configuración › CAA

Cómo configurar un registro CAA en Namecheap

Añade un registro CAA en Namecheap para controlar qué autoridades de certificación pueden emitir certificados SSL para tu dominio.

Por qué le importa a tu negocio

Un registro CAA (Autorización de Autoridad de Certificación) indica qué autoridades de certificación —las empresas que emiten los certificados SSL/TLS que están detrás del candado del navegador— pueden emitir un certificado para tu dominio. Cualquier autoridad que cumpla las reglas debe consultar este registro primero y rechazar la solicitud si no figura en la lista.

Dicho en palabras llanas: sin un registro CAA, cualquiera de los cientos de autoridades de certificación que existen en el mundo podría ser engañada o cometer un error y entregar a alguien un certificado válido para tu dominio, que un atacante podría usar para suplantar tu sitio web de forma muy convincente. Un registro CAA cierra esa puerta al decir solo estas autoridades, nadie más. Es gratis y se hace en unos minutos.

Confirma que Namecheap gestiona tu DNS

Esto solo funciona si Namecheap responde al DNS de tu dominio. Los registros de abajo van en Advanced DNS, que solo está activo cuando tu dominio usa Namecheap BasicDNS (o PremiumDNS). Inicia sesión, abre la Domain List, haz clic en Manage en tu dominio y comprueba que los servidores de nombres estén configurados como los de Namecheap. Si tus servidores de nombres apuntan a otro sitio, añade el registro CAA en el proveedor que realmente gestione tu DNS.

Conoce primero tu autoridad de certificación

Antes de añadir nada, averigua qué autoridad emite tu certificado, o corres el riesgo de dejar fuera a tu propio proveedor. Valores habituales:

• letsencrypt.org — Let’s Encrypt (usada por la mayoría de certificados gratuitos y automatizados)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

Si no estás seguro, pregunta a quien configuró tu alojamiento, o revisa el certificado en tu navegador (haz clic en el candado y consulta el emisor del certificado).

Paso a paso en Namecheap

1. Inicia sesión en Namecheap y abre la Domain List.
2. Haz clic en Manage junto a tu dominio.
3. Abre la pestaña Advanced DNS.
4. En Host Records, haz clic en Add New Record.
5. Pon el Type (tipo) del registro en CAA Record.
6. En el campo Host, introduce: @ El @ representa la raíz de tu dominio. No escribas aquí el nombre de tu dominio.
7. En el campo Flag, introduce: 0
8. En el campo Tag (etiqueta), elige: issue
9. En el campo Value (dominio de la CA), introduce el identificador de tu autoridad de certificación, por ejemplo: letsencrypt.org
10. Deja el TTL en Automatic.
11. Haz clic en el tic verde para guardar y luego en Save All Changes si te lo pide.

Permitir más de una autoridad de certificación

La mayoría de los dominios usan más de una autoridad con el tiempo: por ejemplo, un certificado gratuito hoy y uno de pago más adelante, o uno distinto para otro servicio. Para permitir varias, añade un registro CAA independiente para cada una. Todos usan el mismo host @, el mismo flag 0 y la misma etiqueta issue; solo cambia el valor:

• un registro con valor letsencrypt.org
• un registro con valor digicert.com

Juntos dicen ambas autoridades están permitidas, ninguna otra. No los combinas en un único registro.

Detalles de Namecheap que la gente falla

• El mayor error es dejar fuera a tu propia autoridad. Si añades un registro CAA que solo lista digicert.com pero tu certificado en realidad se renueva con Let’s Encrypt, la próxima renovación fallará en silencio y tu candado puede romperse semanas después. Incluye siempre todas las autoridades que realmente uses antes de guardar.
• El host es @, no tu dominio. Escribir el nombre completo de tu dominio en el campo Host crea el registro en el lugar equivocado. Usa @ para la raíz.
• El flag es 0 para un registro normal. El otro valor, 128, es un modo estricto que hace que una autoridad no conforme rechace la solicitud de plano; úsalo solo a propósito. Para uso normal, 0.
• Usa el dominio escueto, no una URL. El valor es letsencrypt.org, nunca https://letsencrypt.org ni www..
• Elige el tipo CAA, no TXT. Namecheap tiene un tipo dedicado CAA Record: úsalo en lugar de intentar escribir un CAA a mano dentro de un registro TXT.
• Dale tiempo. Los cambios de DNS pueden tardar desde unos minutos hasta un par de horas en surtir efecto. Los certificados existentes siguen funcionando; el CAA solo se comprueba cuando se emite o renueva uno nuevo.

Comprueba que funcionó

Una vez guardado y propagado, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si tu registro CAA está en su sitio y qué autoridades has permitido.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.