¿Qué es un registro CAA?
Un registro CAA sirve como confirmación adicional para la Autoridad de Certificación (CA) durante el proceso de validación del certificado SSL. Este registro le indica a la CA que está autorizada a expedir certificados SSL para el dominio.
Encontrará la RFC aquí:
https://datatracker.ietf.org/doc/html/rfc6844
Ejemplos de registros CAA
La sintaxis estándar para los certificados SSL adquiridos a través de Gandi debe ser la siguiente (si se ingresa a través de la "Vista avanzada" del editor)
@ IN CAA 0 issue "sectigo.com
@ IN CAA 0 issuewild "sectigo.com
También puede especificar varias Autoridades de Certificación (CAs) si está generando varios certificados CA diferentes para un mismo dominio. Por ejemplo
@ IN CAA 0 issue "sectigo.com"
@ IN CAA 0 issue "letsencrypt.org"
Valores de los registros CAA
A continuación se explica en qué consisten las distintas propiedades de los registros que se ingresan a través del modo "Vista avanzada" de nuestro editor de registros DNS.
- Type: CAA indica una autoridad de certificación autorizada para emitir SSL para el dominio.
- TTL: Es el número de segundos que transcurren antes de que se verifique el registro DNS para actualizarlo si ha sido modificado. El valor por defecto es 10800.
- Name: El dominio (@ para el dominio Apex) o subdominio al que se aplicará la autorización.
- Flags: 0 (estándar) o 1 (bloquea la validación si el tag es desconocido por la autoridad de certificación).
- Tag: indica lo que especifica el campo de valor
- issue: la autoridad de certificación autorizada a emitir certificados para este dominio
- issuewild: la autoridad de certificación autorizada a emitir certificados wildcard para dicho dominio.
- iodef : URL a la que una autoridad de certificación puede enviar un informe si se realiza una solicitud sin que el registro CAA lo autorice.