Ir al contenido principal
Seguridad web en la UE: 10 pasos para una mejor calificación · Parte 8

Registros CAA: ¿quién tiene permiso para emitir certificados para tu dominio?

El 97% de los dominios de la UE no tiene registro CAA. Cualquier CA del mundo puede emitir un certificado válido para ellos. Una sola entrada DNS lo cambia.

· SiteGuardian

Parte 8 de la serie "Seguridad web en la UE: 10 pasos para una mejor calificación"

El problema

Existen cientos de autoridades de certificación (CA) en todo el mundo. Cada una de ellas puede emitir un certificado TLS válido para cualquier dominio — a menos que un registro CAA diga explícitamente: "solo esta CA".

Sin CAA: Un atacante que compromete cualquier CA (o utiliza una en una jurisdicción con supervisión mínima) puede emitir un certificado válido para tu-dominio.com. Los navegadores lo aceptan sin advertencia.

Con CAA: La CA comprueba el registro CAA antes de la emisión. Si no está en la lista, se niega.

Adopción de CAA en la UE: 3%. El 97% de los dominios confía ciegamente en todas las CA del mundo.

Cómo configurar CAA

Un registro CAA es una entrada DNS (tipo CAA):

tu-dominio.com. IN CAA 0 issue "letsencrypt.org"
tu-dominio.com. IN CAA 0 issuewild ";"
tu-dominio.com. IN CAA 0 iodef "mailto:security@tu-dominio.com"
  • issue "letsencrypt.org" — solo Let's Encrypt puede emitir certificados estándar
  • issuewild ";" — nadie puede emitir certificados wildcard
  • iodef "mailto:..." — notificación en caso de violaciones de la política

Permitir múltiples CAs

tu-dominio.com. IN CAA 0 issue "letsencrypt.org"
tu-dominio.com. IN CAA 0 issue "digicert.com"

Nombres de CA específicos por proveedor

CA Valor CAA
Let's Encrypt letsencrypt.org
DigiCert digicert.com
Sectigo (Comodo) sectigo.com
GlobalSign globalsign.com
Amazon/ACM amazon.com
Google Trust pki.goog

Errores comunes

1. Configurar CAA sin saber qué CA emitió el certificado actual. Comprueba primero: openssl s_client -connect tu-dominio.com:443 | openssl x509 -noout -issuer. Añade esa CA a tu registro.

2. Olvidar los wildcards. issuewild es independiente de issue. Sin un issuewild explícito, cualquier CA puede emitir un certificado wildcard — incluso si issue está restringido.

3. Ignorar los subdominios. CAA se hereda jerárquicamente. Un registro en tu-dominio.com también se aplica a www.tu-dominio.com — a menos que el subdominio tenga su propio registro CAA.

Comprueba tu dominio

https://siteguardian.io/scan

La próxima semana en la Parte 9: Cumplimiento de cookies — cookies previas al consentimiento, transferencias a terceros, y lo que la AEPD, la CNIL y el TJUE tienen que decir al respecto.

¿Cómo se compara tu sitio web?

SiteGuardian analiza tu dominio en seis dimensiones de seguridad — gratis, al instante y sin registro.

Analiza tu sitio web

Seguridad web en la UE: 10 pasos para una mejor calificación

Este artículo forma parte de una serie semanal sobre buenas prácticas de seguridad web en la UE.

SiteGuardian

2026-06-01

RSS