Defaults.Exposed › Configuración › CAA

Cómo configurar un registro CAA en AWS Route 53

Añade un registro CAA en AWS Route 53 para controlar qué autoridades de certificación pueden emitir certificados SSL para tu dominio.

Por qué le importa a tu negocio

Un registro CAA (Autorización de Autoridad de Certificación) indica qué autoridades de certificación —las empresas que emiten los certificados SSL/TLS que están detrás del candado del navegador— pueden emitir un certificado para tu dominio. Cualquier autoridad que cumpla las reglas debe consultar este registro primero y rechazar la solicitud si no figura en la lista.

Dicho en palabras llanas: sin un registro CAA, cualquiera de los cientos de autoridades de certificación que existen en el mundo podría ser engañada o cometer un error y entregar a alguien un certificado válido para tu dominio, que un atacante podría usar para suplantar tu sitio web de forma muy convincente. Un registro CAA cierra esa puerta al decir solo estas autoridades, nadie más. Es gratis y se hace en unos minutos.

Confirma que Route 53 gestiona tu DNS

Esto solo funciona si Route 53 responde al DNS de tu dominio. En Route 53 tus registros viven dentro de una hosted zone (zona alojada) del dominio, y esa zona solo está activa cuando los servidores de nombres de tu dominio apuntan a los cuatro servidores de nombres de Route 53 que figuran en la zona. Abre la hosted zone, revisa su registro NS y confirma que esos servidores de nombres estén configurados en tu registrador. Si tus servidores de nombres apuntan a otro sitio, añade el registro CAA en el proveedor que realmente gestione tu DNS.

Conoce primero tu autoridad de certificación

Antes de añadir nada, averigua qué autoridad emite tu certificado, o corres el riesgo de dejar fuera a tu propio proveedor. Valores habituales:

• amazon.com — Amazon (AWS Certificate Manager, ACM)
• letsencrypt.org — Let’s Encrypt (usada por la mayoría de certificados gratuitos y automatizados)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services

Si usas AWS Certificate Manager para aprovisionar certificados, debes permitir amazon.com o ACM no podrá emitir. Si no estás seguro, pregunta a quien configuró tu alojamiento, o revisa el certificado en tu navegador (haz clic en el candado y consulta el emisor del certificado).

Paso a paso en Route 53

1. Inicia sesión en la consola de administración de AWS y abre Route 53.
2. En el menú de la izquierda, elige Hosted zones y selecciona tu dominio.
3. Haz clic en Create record (Crear registro).
4. Deja el campo Record name vacío para aplicar el registro a la raíz de tu dominio (el ápice). No escribas aquí el nombre de tu dominio.
5. Pon Record type en CAA.
6. En el cuadro Value, introduce el registro en el formato de tres partes de Route 53, en una sola línea: 0 issue "letsencrypt.org" Es decir, los flags (0), luego la etiqueta (issue) y después la autoridad de certificación entre comillas dobles.
7. Deja el TTL en el valor predeterminado (300 segundos está bien).
8. Elige Simple routing si te lo pide y haz clic en Create records.

Permitir más de una autoridad de certificación

La mayoría de los dominios usan más de una autoridad con el tiempo: por ejemplo, AWS Certificate Manager para un servicio y Let’s Encrypt para otro. En Route 53 añades las autoridades adicionales como líneas adicionales dentro del mismo cuadro Value del registro CAA, una por línea:

0 issue "amazon.com"
0 issue "letsencrypt.org"

Juntas dicen ambas autoridades están permitidas, ninguna otra. Cada línea es una entrada issue independiente; no pones dos autoridades en una sola línea.

Detalles de Route 53 que la gente falla

• El mayor error es dejar fuera a tu propia autoridad. Si añades un registro CAA que solo lista digicert.com pero tu certificado en realidad se renueva con Let’s Encrypt o ACM, la próxima renovación fallará en silencio y tu candado puede romperse semanas después. Incluye siempre todas las autoridades que realmente uses antes de guardar.
• Permite amazon.com para ACM. Si tus certificados vienen de AWS Certificate Manager y tu registro CAA no incluye amazon.com, la validación y renovación de ACM fallarán. Este es el tropiezo más común específico de Route 53.
• Las comillas alrededor de la CA son obligatorias. Route 53 espera 0 issue "letsencrypt.org" con la autoridad entre comillas dobles. Omitirlas hace que el registro sea inválido.
• Deja el nombre del registro en blanco para la raíz. Un nombre vacío aplica el registro en el ápice; escribir el nombre del dominio ahí lo crea en el lugar equivocado.
• Flags es 0 para un registro normal. El otro valor, 128, es un modo estricto; úsalo solo a propósito.
• Usa el dominio escueto, no una URL. El valor es letsencrypt.org, nunca https://letsencrypt.org ni www..
• Dale tiempo. Los cambios de DNS pueden tardar desde unos minutos hasta un par de horas en surtir efecto. Los certificados existentes siguen funcionando; el CAA solo se comprueba cuando se emite o renueva uno nuevo.

Comprueba que funcionó

Una vez guardado y propagado, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si tu registro CAA está en su sitio y qué autoridades has permitido.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.