ZenovayTools

Verificador de Registros CAA

Verifica registros DNS de Autorización de Autoridad de Certificación (CAA): qué CAs pueden emitir certificados, política de comodín, reporte de violaciones iodef. Señala riesgo de CAA faltante — cualquier CA puede emitir certificados sin autorización.

Cómo usar Verificador de Registros CAA

  1. 1Ingresa el nombre de tu dominio para buscar sus registros CAA.
  2. 2Los registros CAA controlan qué Autoridades de Certificación pueden emitir certificados TLS para tu dominio.
  3. 3La herramienta muestra las CAs autorizadas para certificados regulares y comodín, más reporte de violaciones iodef.
  4. 4Se señalan registros CAA faltantes — cualquier CA puede emitir certificados para tu dominio sin autorización.
ZenovayAnalytics

Ve quién está en tu sitio ahora mismo.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué es un registro CAA y por qué es importante?
Un registro DNS CAA (Certification Authority Authorization, RFC 8659) especifica qué Autoridades de Certificación están autorizadas para emitir certificados TLS/SSL para su dominio. Sin registros CAA, cualquiera de los cientos de CAs públicamente de confianza puede emitir un certificado para su dominio; si alguna CA se ve comprometida o comete un error, un atacante podría obtener un certificado válido. Con registros CAA, restringe la emisión a una o dos CAs de su confianza. Los principales navegadores hacen cumplir los CAA durante la emisión de certificados.
¿Cuál es la diferencia entre issue e issuewild en CAA?
issue controla qué CAs pueden emitir certificados DV/OV/EV regulares para su dominio (p. ej., example.com, www.example.com). issuewild controla qué CAs pueden emitir certificados comodín (*.example.com). Si solo tiene registros issue= y ningún registro issuewild=, los registros issue= también se aplican a los comodines. Si desea bloquear completamente la emisión de comodines, añada: "0 issuewild \";\"" — el punto y coma entre comillas dobles significa que ninguna CA está autorizada.
¿Qué es iodef en CAA y debo usarlo?
iodef (Incident Object Description Exchange Format) indica a las CAs adónde enviar informes cuando alguien solicita un certificado para su dominio que viola su política CAA. Formato: "0 iodef \"mailto:[email protected]\"". Esto le da una alerta temprana si alguien intenta obtener un certificado no autorizado. No todas las CAs envían informes iodef, pero las principales como Let's Encrypt, DigiCert y Comodo lo admiten. Es una señal de monitoreo de seguridad gratuita y de poco ruido que vale la pena activar.
¿Los registros CAA romperán mi certificado SSL actual?
Añadir registros CAA NO afectará a su certificado emitido actualmente; solo afecta a la emisión futura de certificados. Sin embargo, debe asegurarse de que su CA actual esté listada antes de que su certificado expire. Si usa Let's Encrypt, añada: 0 issue "letsencrypt.org". Si Cloudflare gestiona sus certificados, añada: 0 issue "letsencrypt.org" y 0 issue "pki.goog" (Google Trust Services, que Cloudflare también usa).
¿Qué es el valor de indicador (0 o 128) en los registros CAA?
El indicador es un entero de 8 bits. El indicador 0 es el valor estándar y significa «no crítico»: las CAs que no comprenden una etiqueta CAA específica deben tratarla como si no existiera. El indicador 128 es «crítico»: las CAs que no comprenden la etiqueta DEBEN negarse a emitir un certificado. En la práctica, el indicador 0 se usa para todas las etiquetas estándar (issue, issuewild, iodef). Use el indicador 0 para todos los registros CAA estándar.