Registro dns CAA

Registro DNS CAAEl registro DNS del tipo CAA (Certification Authority Authorization) es un tipo de registro de seguridad que te permite designar qué entidades certificadores están autorizadas para emitir certificados digitales para tu nombre de dominio.

Es un tipo de registro relativamente reciente, ya que aunque existe desde 2013 (RFC 6844) su uso es obligatorio desde Septiembre de 2017. Por lo tanto, todas las entidades certificadoras estarían obligadas a revisar si existe este registro antes de poder emitir un certificado SSL para un dominio concreto.

En Webempresa usamos la entidades certificadoras Let’s Encrypt y ZeroSSL para la emisión de los certificados gratuitos que os ofrecemos. En el caso de que necesitases autorizar a estas entidades para que nuestro sistema pueda solicitar un certificado para tu dominio, deberías agregar los siguientes registros CAA:

midominio.xxx. 3600 IN CAA 0 issue "sectigo.com"
midominio.xxx. 3600 IN CAA 0 issue "letsencrypt.org"
midominio.xxx. 3600 IN CAA 0 issuewild "sectigo.com"
midominio.xxx. 3600 IN CAA 0 issuewild "letsencrypt.org"

Donde «midominio.xxx.» sería el nombre de tu dominio.

Advertencia

Solo las entidades certificadoras designadas en los registros CAA podrán emitir certificados para ese dominio, pero en el caso de no existir ningún registro CAA se entiende que no existen restricciones y por lo tanto cualquier entidad certificadora podrá emitir certificados para dicho dominio.

Si tienes creados los registros CAA que te indicamos, pero no consigues solicitar el certificado de seguridad para tú dominio, tienes dos opciones:

  1. Eliminar todos los registros de tipo CAA para que cualquier entidad pueda emitir certificados digitales para tú dominio.
  2. Asegurarte que los registros están correctamente creados. Dispones de validadores online como por ejemplo caatest.co.uk.

Una vez que hayas llevado a cabo alguno de los puntos anteriores, tienes que seguir estos pasos para solicitar nuevamente el certificado:

    1. Vaciar en Google la cache DNS de tu dominio, indicando registro CAA para hacer un «Flush Cache» a través de su herramienta https://developers.google.com/speed/public-dns/cache . Es importante hacer esto para actualizar la información DNS de tu dominio, ya que Let’s Encrypt y ZeroSSL validan tus DNS utilizando el servicio de Google.
Flush DNS
Pulsa en la imagen para verla a tamaño completo

 

    1. Validar que la configuración del CAA que has realizado es la correcta en caatest.co.uk
    2. Por último, accede al panel de control de tu alojamiento con nosotros (WePanel) y dirígete a la sección de Seguridad > SSL/TLS > Información SSL, hacer click en el botón ‘Solicitar SSL’ a la derecha de tu dominio.
Pulse en la imagen para ver a tamaño completo

Siguiendo estos pasos, deberías poder obtener tu certificado en pocos segundos. Si tienes cualquier inconveniente, no dudes en consultar con soporte.

¿Te resultó útil?
genial
mal
aburre