Con un registro CAA, usted, como titular del dominio, puede determinar qué autoridades de certificación (CA) pueden emitir certificados para su dominio o subdominio. La abreviatura CAA significa Autorización de autoridad de certificación.

Se configura un registro CAA para evitar que los certificados se emitan erróneamente y se utilicen indebidamente para un dominio o subdominio.

Al crear un registro CAA para un dominio, también se aplicará a los subdominios existentes. Ejemplo: al configurar un registro CAA para el dominio example.com, también se aplica al subdominio www.example.com.

En caso necesario, puede añadir varios registros CAA para cada dominio o subdominio. Esto puede ser necesario, por ejemplo, si desea permitir que la autoridad de certificación emita tanto certificados específicos como certificados wildcard.

Antes de emitir un certificado, estos registros CAA deben ser verificados por la autoridad de certificación respectiva. Esta última podrá expedir el certificado si se cumple una de las siguientes condiciones

  • La autoridad de certificación no puede encontrar un registro CAA para su dominio o subdominio.

  • La autoridad de certificación encontrará un registro CAA para su dominio o subdominio que le autoriza a emitir un certificado para su dominio.

Notas
  • Si no se dispone de ningún registro CAA, cada autoridad de certificación puede emitir un certificado para el dominio.

  • Si se dispone de un registro CAA, sólo las autoridades de certificación indicadas en las entradas pueden emitir certificados para el dominio.

Estructura del registro CAA

Cada registro CAA tiene un flag y un tag.

Flag

En el campo Flag, puede seleccionar 0 (no crítico) o 128 (crítico).

  • 0 (no crítico): Si usa este flag, las autoridades de certificación ignorarán todas las entradas en el registro CAA que no puedan evaluarse.
  • 128 (crítico): Si usa este flag, las autoridades de certificación no emitirán un certificado si no se pueden evaluar las entradas en el registro de la CAA.
Tag

Al crear un registro CAA, puede seleccionar uno de los siguientes 3 tipos de tag:

  • issue - Definir Autoridad de Certificación (CA): especifica que la autoridad de certificación definida en el campo Valor puede emitir un certificado para el dominio o subdominio.

  • Issuewild - El organismo de certificación puede emitir certificados wildcard: especifica que la autoridad de certificación definida en el campo Valor puede emitir certificados wildcard para el dominio o subdominio. Si selecciona issuewild, es posible que la autoridad de certificación no emita un certificado específico para el dominio. Para que la autoridad de certificación pueda crear certificados específicos para el dominio, debe definir un registro CAA independiente con el flag issue - Definir Autoridad de Certificación (CA).

  • Iodef - Proporcionar a la Autoridad de Certificación (CA) una dirección de correo electrónico de contacto: si selecciona este tag, puede especificar una opción de contacto para la autoridad de certificación. Aquí tiene la opción de indicar una dirección de correo electrónico o una URL. Hasta ahora no todas las autoridades de certificación admiten este tipo de tag.

Ejemplos

En el siguiente ejemplo, se seleccionaron el flag 128 (crítico) y el tag issue - Definir Autoridad de Certificación (CA) para el dominio example.com. La autoridad de certificación (CA) es sectigo.com.

 

Estas entradas permiten a la autoridad de certificación Sectigo emitir certificados simples.

 

En el siguiente ejemplo, Sectigo puede crear certificados wildcard:

Para prohibir la emisión de certificados simples y certificados wildcard para el dominio example.com, debe crear dos registros CAA que contengan un punto y coma en el campo Valor:

En el siguiente ejemplo, se ha especificado una opción de contacto para la autoridad de certificación.

Sus cambios son efectivos inmediatamente en IONOS. Sin embargo, el cambio puede tardar hasta 1 hora en surtir efecto debido a la estructura descentralizada del Sistema de nombres de dominio (DNS).

Añadir un registro CAA

Puede añadir un registro CAA en el área IONOS:

  • Para el dominio deseado, debajo de Acciones, haga clic en icono de la rueda dentada > DNS.

  • Haga clic en AÑADIR REGISTRO y en Tipo seleccione CAA.

  • En el campo Nombre de host, especifique el host deseado, como www o @. El carácter @ se utiliza como comodín en este caso y garantiza el acceso al dominio y todos los subdominios.

  • En el campo Valor, introduzca el valor correspondiente. Obtendrá esta información de la autoridad de certificación respectiva. Si ha adquirido un certificado SSL de IONOS, introduzca el valor sectigo.com.

  • Seleccione el flag deseado.

  • Seleccione el tag deseado.

  • Opcional: Seleccione el TTL(Time-To-Live) deseado. De forma predeterminada, la configuración se activará inmediatamente.

  • Haga clic en Guardar.

Editar un registro CAA

Los registros CAA existentes se muestran en el área IONOS en la información DNS del dominio correspondiente. Puede editar cualquier registro CAA en esta área en cualquier momento:

  • Para el dominio deseado, debajo de Acciones, haga clic en icono de la rueda dentada > DNS.

  • Para el registro CAA que desea editar, debajo de Acciones, haga clic en icono de la rueda dentada > Editar registro.

  • En el campo Valor, introduzca el valor correspondiente. Obtendrá esta información de la autoridad de certificación respectiva. Si ha adquirido un certificado SSL de IONOS, introduzca el valor sectigo.com.

  • Seleccione el flag deseado.

  • Seleccione el tag deseado.

  • Opcional: Seleccione el TTL(Time-To-Live) deseado. De forma predeterminada, la configuración se activará inmediatamente.

  • Haga clic en Guardar.

Eliminar un registro CAA

Puede eliminar un registro CAA en cualquier momento en el área IONOS:

  • Para el dominio deseado, debajo de Acciones, haga clic en icono de la rueda dentada > DNS.

  • Para el registro CAA que desea borrar, debajo de Acciones, haga clic en icono de la rueda dentada > BORRAR REGISTRO.

  • Confirme la solicitud haciendo clic en BORRAR.