Verificación de registros de recurso CAA DNS

Las autoridades de certificados controlan los registros del recurso de la CAA antes de emitir un certificado

Antes de que una Autoridad de certificados (CA) pueda emitir un certificado SSL/TLS para su dominio, debe controlar, tramitar y cumplir lo que se establece en el registro de recursos (RR) de la Autorización de la Autoridad de certificados (CAA) DNS del dominio. (Consulte la Votación 125 – Registros de la CAA[APROBADA], R. F. C. 6844, y Votación 219: Aclarar el manejo de los conjuntos de registros CAA sin etiqueta de propiedad "issue"/"issuewild").

NO ES OBLIGATORIO tener un registro de recursos de la CAA para que DigiCert emita certificados SSL/TLS para sus dominios. La información que damos aquí solo le resultará importante si está en una de estas situaciones:

  • Ya tiene registros de recursos de la CAA configurados para sus dominios.
  • Quiere agregar registros de recursos de la CAA para sus dominios.

Para obtener información sobre los beneficios de la CAA, consulte Los beneficios de seguridad de la CAA.

Cómo funciona el proceso de los RR de la CAA

Antes de emitir un certificado SSL/TLS para su dominio, una CA (como DigiCert) verifica el RR de la CAA para determinar si puede emitir un certificado para su dominio. Una CA puede emitir un certificado para su dominio si se cumple una de las siguientes condiciones:

  • No hallan un RR de la CAA para su dominio.
  • Hallan un RR de la CAA para su dominio por el que están autorizados a emitir ese tipo de certificado para eso.
  • Solo hallan un RR de la CAA sin etiquetas de propiedad "issue" ni "issuewild" para su dominio.

Poder de un solo RR de la CAA

Después de crear un registro de recursos (RR) de la CAA para autorizar a DigiCert a que emita certificados SSL/TLS para un dominio, habrá excluido de manera efectiva todas las demás Autoridades de certificación (CA) respecto de la emisión de certificados para ese dominio. La única forma de autorizar a otra CA a que emita certificados para ese dominio es crear otro RR de la CAA para esa CA.

Si no hay un RR de la CAA para el dominio, esto significa que cualquier CA puede emitir todos los tipos de certificados SSL/TLS para el dominio.

Si tiene un RR de la CAA para el dominio, esto significa que una CA debe encontrar un RR de la CAA por el que se la autorice a que emita un certificado SSL/TLS para el dominio. Cuando cree su primer RR de la CAA para un dominio, es importante entender que debe crear ahora suficientes políticas para ese dominio a fin de apoyar lo que exigen los certificados SSL/TLS de su organización.

De esta manera, el registro de recursos de la CAA permite un control preciso de la emisión de certificados para el dominio. Este control se puede usar para prevenir que Autoridades de certificación no autorizadas emitan certificados para su dominio.

Autorización de CA para los certificados de marca de DigiCert, Symantec, Thawte, GeoTrust, RapidSSL

Con la adquisición de las soluciones de seguridad de sitios web y de las PKI conexas de Symantec,, DigiCert juntó a las marcas de certificados líderes del sector en una Autoridad de certificados: DigiCert. Cuando crea un RR de la CAA para yourdomain.com y autoriza a DigiCert a que emita certificados SSL/TLS para ese dominio (yourdomain CAA 0 issue "digicert.com"), autoriza a DigiCert a que emita certificados SSL/TLS de marca DigiCert, Symantec, Thawte, GeoTrust y RapidSSL para ese dominio.

Lo mismo ocurre cuando crea un RR de la CAA y autoriza a Symantec a que emita certificados SSL/TLS para yourdomain.com (yourdomain CAA 0 issue "symantec.com"). Este registro único habilita a DigiCert a emitir certificados SSL/TLS de marca DigiCert, Symantec, Thawte, GeoTrust y RapidSSL para ese dominio.

Valores válidos del RR de la CAA

Debajo hallará valores del RR de la CAA válidos que puede usar actualmente en sus registros de la CAA para autorizar a DigiCert a que emita su certificado SSL/TLS

  • digicert.com
  • www.digicert.com
  • digicert.ne.jp
  • cybertrust.ne.jp
  • symantec.com
  • thawte.com
  • geotrust.com
  • rapidssl.com

Todos los valores que aparecen en la lista son equivalentes. En otras palabras, puede usar cualesquiera de los valores para que DigiCert pueda emitir certificados SSL/TLS para todas las marcas de certificados, portales, productos y otros de DigiCert.

Confirmar que su RR de la CAA esté configurado de manera adecuada

¿Tiene o está planeando crear un RR de la CAA DNS para sus dominios? Es importante velar por que sus registros estén actualizados y sean precisos.

En DigiCert, recomendamos controlar su RR de la CAA DNS para sus dominios antes de pedir certificados SSL/TLS para ellos. Confirme que tiene los registros necesarios para cada CA autorizada para la emisión de certificados SSL/TLS para sus dominios. También recomendamos que los que crearán nuevos RR de la CAA DNS entiendan cómo funciona el proceso. No deje que un RR de la CAA mal configurado impida accidentalmente que una CA emita un certificado que necesita cuanto antes.

Consulte Cómo modificar los RR de la CAA DNS de un dominio para obtener marcas de certificado de DigiCert.

¿Qué es un registro de recursos de la CAA DNS?

Los registros de recursos (RR) de la Autorización de la Autoridad de certificados (CAA) dejan que los dueños de los dominios creen políticas por las que se autoriza a Autoridades de certificados (CA) determinadas a que emitan certificados SSL para sus dominios conexos. Los dueños de los dominios pueden usar los RR de la CAA para crear políticas de seguridad para todo un dominio (por ejemplo, ejemplo.com) o para un nombre de alojamiento determinado (por ejemplo, correo.ejemplo.com).

Cuando cree un RR de la CAA para su dominio base, básicamente creará una política de base para los subdominios que se rigen por esa política, a menos que cree un RR de la CAA para un subdominio determinado. ¿Tiene un registro del RR de la CAA (ejemplo.com), pero quiere crear una política de seguridad diferente para correo.ejemplo.com? Cree un RR de la CAA adicional determinado para el subdominio del correo electrónico.

Una vez que haya creado este registro, cuando pida un certificado SSL/TLS para correo.ejemplo.com, la CA consulta sus DNS para el RR de la CAA para ese subdominio. Si la CA halla un registro para correo.ejemplo.com, entonces se detiene la búsqueda y esa política vale para el pedido del certificado. Si la CA no halla un registro para correo.ejemplo.com, se seguirá su consulta de DNS para el RR de la CAA en su dominio principal, ejemplo.com. Si la CA halla un registro para ejemplo.com, entonces la política del dominio padre valdrá para el pedido de certificado para correo.ejemplo.com.

Sintaxis de registros de recurso de la CAA DNS

Un registro de recursos (RR) de la Autorización de la Autoridad de certificados (CAA) consta de una bandera de un solo byte y de un binomio etiqueta-valor llamado propiedad (R. F. C. 6844, artículos 3, 5.1). La bandera es una integral no asignada cuyo valor está entre 0 y 255. La etiqueta del binomio etiqueta-valor puede constar de letras y números US-ASCII, mientras que el valor es una cadena de octetos que representa el valor de la propiedad etiqueta-valor.

Etiquetas de propiedad del RR de la CAA

Puede vincular diversas propiedades al mismo dominio publicando diversos RR de la CAA para el nombre del dominio. Sin embargo, cada RR de la CAA solo puede autorizar a una CA para la emisión de certificados (o, en algunos casos, un tipo de certificado) para su dominio.

Para que diversas CA puedan emitir certificados para su dominio, deberá crear al menos un RR de la CAA para cada CA (y, en algunos casos, dos RR de la CAA). Si necesita ayuda para configurar sus RR de la CAA, visite Asistente de registros de la CAA.

"Etiqueta de propiedad" issuewild

Use esta etiqueta de propiedad para autorizar a una CA (como DigiCert) a que emita solo certificados Wildcard para un dominio. Al tramitar un pedido de certificado Wildcard para *.sudominio, la CA consulta el DNS del dominio para los RR de la CAA en que esté la etiqueta de propiedad "issuewild". Si la CA halla una etiqueta de propiedad "issuewild," se hará caso omiso de todos los RR de la CAA que tengan la etiqueta de propiedad "issue" para ese dominio. Para autorizar a otras CA a que emitan solo certificados Wildcard para el mismo dominio, deberá crear un RR de la CAA distintivo para cada CA.

generic
yourdomain CAA 0 issuewild "digicert.com"

Cómo funciona"la propiedad" issuewild

La etiqueta de propiedad "issuewild" autoriza a la CA a que emita solo certificados Wildcard para un dominio (*.dominio.com, *.sub.dominio.com, *.sub.sub.dominio.com, etc.). No deja que la CA emita certificados que no sean Wildcard para un dominio (.dominio.com, .sub.dominio.com, .sub.sub.dominio.com, etc.).

Usar"la propiedad" issuewild

Si se usa de manera adecuada, la propiedad "issuewild" puede ser una herramienta eficaz para la creación de un certificado wildcard de que emanen políticas.

Por ejemplo, crea tres RR de la CA "issue" para sudominio. Después decide que solo quiere que una de esas CA emita certificados Wildcard para sudominio. Entonces, crea un RR de la CA "issuewild" por el que se autoriza a la CA a que emita certificados Wildcard *.sudominio. Las tres CA pueden seguir emitiendo certificados que no sean Wildcard para sudominio, pero ahora solo una CA puede emitir certificados Wildcard para él.

Autorizar a DigiCert a que emita certificados wildcard para un dominio

Cuando pida un certificado Wildcard para *.sudominio, DigiCert incluirá sudominio en el certificado sin costo adicional. Esto genera un problema cuando crea RR de la CAA "issuewild" (yourdomain CAA 0 issuewild "digicert.com") para autorizar a DigiCert a que emita solo certificados Wildcard para sus dominios base y sus subdominios.

Debido a que incluimos sudominio (o correo.sudominio) junto con su pedido de certificado Wildcard para *.sudominio (o *.correo.sudominio), debe usar una de las opciones que aparecen debajo para que podamos emitir su certificado Wildcard.

  1. Crear un RR de la CAA “issue” para DigiCert

    A menos que tenga una razón concreta, no cree un RR de la CAA "issuewild" para sudominio. Administrar solo RR de la CAA "issue" es mucho más sencillo:

generic
yourdomain CAA 0 issue "digicert.com"
  1. Crear un RR de la CAA “issue” y un “issuewild” para DigiCert

    Si las políticas de su organización lo permiten y debe crear unos RR de la CAA “issuewild” para su dominio.com, entonces cree dos reglas:

generic
yourdomain CAA 0 issue "digicert.com"
yourdomain CAA 0 issuewild "digicert.com"
  1. Comuníquese con nosotros

    Si las políticas de su organización no le dejan autorizar a DigiCert a que emita certificados que no sean Wildcard para su dominio, comuníquese con nosotros, y nosotros colaboraremos con usted para encontrar una solución al problema a fin de que podamos emitir su certificado Wildcard.

Usar de manera indebida"la propiedad" issuewild

Si no usa de manera adecuada la propiedad "issuewild," podría bloquear la capacidad de las CA de emitir los certificados que necesita para un dominio. Cuando tramitan los pedidos de certificados, las CA pasan por alto todos los RR de la CAA que tengan la etiqueta de propiedad "issuewild," a menos que 1) la CA esté tramitando un pedido de un certificado Wildcard o 2) una etiqueta "issuewild" sea el único RR de la CAA para el dominio.

  1. Una CA tramita un pedido de un certificado Wildcard

    Cuando crea un registro "issuewild" único para su dominio (yourdomain CAA 0 issuewild "digicert.com"), efectivamente excluye a todas las otras CA que no tengan un registro "issuewild" de la emisión un certificados Wildcard para ese dominio. Si esa no fue su intención cuando creó el registro, entonces deberá crear un registro "issuewild" adicional para cada CA que quiera autorizar para que pueda emitir certificados Wildcard para sudominio.

  2. "RR de la CAA issuewild:" único tipo de registro creado para el dominio

    Cuando pide un certificado que no sea Wildcard para sudominio, la CA pasará por alto cualesquier RR de la CAA "issuewild" para el dominio, a menos que el RR de la CAA "issuewild" sea el único tipo de registro hallado. Cuando esto sucede, la CA no podrá emitir un certificado que no sea Wildcard para sudominio.

    La razón básica para usar RR de la CAA es crear políticas de emisión de certificados para un dominio. Cuando crea un registro "issuewild" único para su dominio (yourdomain CAA 0 issuewild "digicert.com"), sin registros "issue" complementarios, hace estas dos afirmaciones:

    1. Autoriza a esta CA (y solo a esta CA) a que emita certificados Wildcard para sudominio.
    2. No quiere que CA alguna emita certificados que no sean Wildcard para sudominio.
      Así es como funcionan los RR de la CAA, y debería ser consciente de ello cuando cree solo RR de la CAA "issuewild" para sudominio.com.

    Cuando cree el primer RR de la CAA "issuewild" para un dominio, es importante entender que después deberá crear una política (RR de la CAA) para ambos tipos de autorizaciones de certificados SSL/TLS (no Wildcard y Wildcard).

Cómo trabajan juntos el RR de la CAA y CNAME

Cuando solicita un certificado SSL/TLS para un dominio (por ejemplo, mi.blog.ejemplo.com) en que haya un registro CNAME que apunta a otro dominio (por ejemplo, mi.blog.ejemplo.net), la Autoridad de certificados (CA) sigue un proceso determinado (estipulado en los Requisitos de base,[BR]) para ubicar un RR de la CAA que la autorice a emitir su certificado.

Destinos CNAME

Como medida preventiva contra los ataques de agotamiento de recursos, es necesario que una CA haga el seguimiento de 8 destinos CNAME (8 o menos registros CNAME: blog.ejemplo.com es un CNAME para blog.ejemplo.net, que es un CNAME de blog.ejemplo.org, y así sucesivamente, en 8 niveles de profundidad).

El proceso comienza en el nombre del dominio que está en el pedido del certificado y sigue hasta el dominio del nivel superior. El proceso se detendrá en cualquier punto del camino si no se hallan los RR de la CAA. A partir de los RR de la CAA después se determina si la CA está autorizada a emitir su certificado.

Ejemplo de control del flujo de trabajo de RR de la CAA con CNAME

Para ver una versión más grande del diagrama, haga clic aquí.

Paso 1: La CA controla los RR de la CAA para el nombre del dominio de la solicitud de certificado (mi.blog.ejemplo.com).

Si la CA halla un registro de la CAA para el dominio en la solicitud de certificado, la búsqueda se detiene. La CA controla la situación para determinar si existe un registro de la CAA por el que se la autorice a que emita su certificado. Si halla el registro, la CA emite el certificado. Si no encuentra el registro, la CA no puede emitir el certificado.

Si la CA no encuentra un registro de la CAA para el dominio en la solicitud de certificado, la búsqueda del registro de la CAA sigue.

Paso 2: La CA controla los RR de la CAA para el dominio destino CNAME (mi.blog.ejemplo.net).

Si la CA encuentra un registro de la CAA para el dominio destino CNAME, la búsqueda se detiene. La CA controla la situación para determinar si existe un registro de la CAA por el que se la autorice a que emita su certificado. Si halla el registro, la CA emite el certificado. Si no encuentra el registro, la CA no puede emitir el certificado.

Si la CA no encuentra un registro de la CAA para el dominio destino CNAME, la búsqueda del registro de la CAA continúa.

Paso 3: La CA controla los RR de la CAA para el dominio padre del dominio original (blog.ejemplo.com).

Si la CA encuentra un registro de la CAA para el dominio principal del dominio original, la búsqueda se detiene. La CA controla la situación para determinar si existe un registro de la CAA por el que se la autorice a que emita su certificado. Si halla el registro, la CA emite el certificado. Si no encuentra el registro, la CA no puede emitir el certificado.

Si la CA no encuentra un registro de la CAA para el dominio padre del dominio original, la búsqueda del registro de la CAA continúa.

Paso 4: La CA controla los RR de la CAA para el dominio base del dominio original (ejemplo.com).

Si la CA encuentra un registro de la CAA para el dominio base del dominio original, la búsqueda se detiene. La CA controla la situación para determinar si existe un registro de la CAA por el que se la autorice a que emita su certificado. Si halla el registro, la CA emite el certificado. Si no encuentra el registro, la CA no puede emitir el certificado.

Si la CA no encuentra un registro de la CAA para el dominio base del dominio original, la búsqueda del registro de la CAA continúa.

Paso 5: La CA controla los RR de la CAA para el dominio de nivel superior del dominio original (com).

Si la CA encuentra un registro de la CAA para el dominio de nivel superior del dominio original, la búsqueda se detiene. La CA controla la situación para determinar si existe un registro de la CAA por el que se la autorice a que emita su certificado. Si halla el registro, la CA emite el certificado. Si no encuentra el registro, la CA no puede emitir el certificado.

Si la CA no encuentra un registro de la CAA para el dominio de nivel superior del dominio original, la CAA emite el certificado.

Información adicional: