Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad Última actualización: 25 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

Aproveche el registro DNS CAA para autorizar a la CA a emitir los certificados TLS

¿Qué es el DNS CAA?

CAA es uno de los tipos de registro DNS que indica a la CA si debe emitir un certificado o no. En otras palabras, está haciendo saber al mundo quién debe emitir el certificado SSL/TLS de su dominio. La implementación de CAA se hizo obligatoria a finales de 2017, por lo que es relativamente nueva, y menos del 5% de los sitios populares lo han implementado.

Pongamos un ejemplo: Geekflare posee un sitio llamado "gf.dev", que tiene el siguiente registro CAA

gf.dev. 3586 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
gf.dev. 3586 IN CAA 0 issuewild "comodoca.com"
gf.dev. 3586 IN CAA 0 issue "comodoca.com"
gf.

dev. 3586 IN CAA 0 issuewild "

digicert.com; cansignhttpexchanges=yes"
gf.dev. 3586 IN CAA 0 issuewild "letsencrypt.org"

gf

.dev. 3586 IN CAA 0 issue "letsencrypt.org"

Observando los resultados anteriores, sólo puedo obtener el certificado emitido por DigiCert, Comodo y Let's encrypt. Si pido a Thawte u otra CA que emita un cert para gf.dev, entonces no podrán hacerlo. Además, si presta atención, notará que algunas entradas tienen tema y otros issuewild. Averigüemos cuáles son

  • issue - ordena a la CA que emita el cert sólo para ese dominio.
  • issuewild - la CA puede emitir el certificado comodín para que pueda ser utilizado en un dominio o subdominio.

El registro CAA también es compatible con iodef (Incident object description exchange format), que permite a la CA enviar un informe de infracción al correo electrónico o a los datos de contacto especificados

¿Qué ocurre cuando no se encuentra ningún registro CAA?

Si un dominio no tiene un registro CAA, cualquiera puede generar una RSE para ese dominio y obtener el cert firmado por cualquier CA. Esto supone un riesgo para la seguridad

¿Está claro ahora?

He utilizado algunos abreviaturas más arriba. Veamos cuáles son

  • DNS - Sistema de nombres de dominio
  • CA - Autoridad de certificación
  • CAA - Autorización de autoridad de certificación
  • TLS - Seguridad de la capa de transporte
  • SSL - Capa de conexión segura

¿Cómo comprobar el registro DNS CAA?

Hay varias formas de validar el registro CAA. Si no quiere salir de su terminal, puede comprobarlo utilizando el comando dig

dig caa $TUWEBSITE.COM

Ejemplo de geekflare.com

root@geekflare:~# dig caa geekflare.com

; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> caa geekflare.com
;; opciones globales: cmd
;; Obtuvo respuesta:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54430
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;geekflare.com. IN CAA

;; ANSWER SECTION:
geekflare.com. 3600 IN CAA 0 issuewild "comodoca.com"
geekflare.com. 3600 IN CAA 0 issuewild "letsencrypt.org"
geekflare.com. 3600 IN CAA 0 issue "comodoca.com"
geekflare.com.		3600 IN CAA 0 issue "digicert.com; cansignhttpexchanges=yes"
geekflare.com. 3600 IN CAA 0 issue "letsencrypt.org"
geekflare.com.		3600 IN CAA 0 issuewild "digicert.com; cansignhttpexchanges=yes"

;; Tiempo de consulta: 7 mseg
;; SERVIDOR: 127.0.0.53#53(127.0.0.53)
;; CUANDO: Tue Oct 08 07:12:21 UTC 2019
;; MSG SIZE rcvd: 298

root@geekflare:~#

Si desea probar esto de forma remota, puede utilizar la herramienta en línea Comprobador de DNS CAA

¿Cómo añadir un registro CAA?

Técnicamente, es de la misma forma que se añaden otros registros DNS como A, NS, CNAME, etc

Si utiliza Cloudflare, vaya a la pestaña DNS >> añadir un registro y seleccione CAA como tipo

Para GoDaddy, vaya a Gestión DNS y añada un registro

Si no está seguro de cómo añadirlo, puede ponerse en contacto con su proveedor de DNS/hosting para que le ayude

Conclusión

Si aún no lo ha hecho, debería aprovechar el registro CAA para añadir una capa de seguridad al dominio. Añadir un registro CAA no le costará nada.

  • Chandan Kumar
    Autor
    Chandan Kumar es el fundador de Geekflare. Ha ayudado a millones de personas a destacar en el ámbito digital. Apasionado de la tecnología, su misión es explorar el mundo y ampliar el crecimiento de profesionales y empresas.
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder