6 nov 2025

Comprobación de CAA para Certificados SSL

DESCRIPCIÓN GENERAL: Esta página ofrece una descripción general de la verificacion CAA para certificados SSL y soluciones recomendadas para errores comunes. Al finalizar este procedimiento, sabrá más sobre la verificacion CAA para sus certificados SSL y podrá solucionar errores comunes.

¿Qué es la comprobación CAA?  

La verificación CAA (Certificate Authority Authorization) permite a los propietarios de dominios controlar o restringir qué CA pueden emitir certificados para un nombre de dominio concreto. Al configurar el registro DNS CAA, los propietarios de dominios pueden limitar qué autoridades de certificación están autorizadas a emitir certificados para ese nombre de dominio. Todas las CA que emiten certificados TLS de confianza pública deben verificar los registros CAA en el DNS antes de la emisión.  

¿Cómo funciona?  

Los propietarios de dominios que deseen limitar la emisión a determinadas CA pueden crear registros DNS CAA que enumeren las CA a las que permiten emitir certificados para el dominio. Si un dominio tiene un registro DNS CAA, solo las CA que figuran en el registro o registros pueden emitir certificados para ese dominio. Si no hay ningún registro DNS CAA, cualquier CA puede emitir certificados para ese nombre de dominio.  

Las CA deben validar cada SAN del certificado justo antes de su emisión.  El proceso comienza con el FQDN del certificado, por ejemplo, www.eu.example.com, y luego asciende por la jerarquía (a eu.example.com y luego a example.com para este dominio), buscando registros CAA.  Tan pronto como se encuentra un registro DNS CAA, se procesan los registros CAA para ese dominio y finaliza la comprobación CAA.  Los clientes pueden restringir en el nivel de dominio superior, example.com, o en niveles inferiores según sea necesario, eu.excample.com.  

Si la CA encuentra un dominio que tiene un registro CNAME, la CA lo seguirá y buscará registros CAA allí. 

GlobalSign procesa las etiquetas issue y issuewild.  

Lógica detallada del procesamiento CAA  

Para cada nombre DNS SAN en la solicitud de certificados, realizamos lo siguiente:  

• Buscamos registros CAA utilizando el SAN de la solicitud.  

• Continuamos haciendo esto hasta llegar al dominio base.  

• Si no hay errores y no se devuelven registros CAA con etiquetas de emisión durante el seguimiento de CNAME, recortamos el nodo más a la izquierda y continuamos utilizando ese valor.  

• Si la búsqueda encuentra un registro CNAME, lo seguimos y procesamos los registros CAA según la lógica que se indica a continuación. Seguiremos hasta 10 CNAME antes de terminar con un error.   

Escenarios de error que bloquean la emisión:  

• Si la zona está firmada con DNSSEC y nos encontramos con un error de tiempo de espera,  SERVFAIL o rechazado  

• Si la respuesta DNS se trunca debido a un exceso de registros CAA y no hemos encontrado «globalsign.com» en los registros de emisión CAA, devolvemos un mensaje de error de «respuesta DNS truncada».  

• Si obtenemos SERVFAIL o rechazado al intentar determinar si la zona está firmada con DNSSEC.  

Errores que permitimos la emisión de forma condicional: 

• Si la zona no está firmada con DNSSEC, permitiremos la emisión incluso si nos encontramos con un error de tiempo de espera o SERVFAIL.  

Podemos almacenar en caché los registros CAA durante un máximo de una hora, por lo que, incluso después de que se actualicen, nuestro sistema puede tardar una hora en obtener los registros actualizados.  

SAN comodín  

Es posible que los clientes deseen restringir la emisión de SAN comodín de forma diferente a otros SAN.  Cuando se utiliza la etiqueta de emisión, se restringe la emisión de todos los tipos de SAN, pero si se desea restringir los SAN comodín de forma diferente, se debe utilizar la etiqueta   issuewild.    

Al validar un SAN comodín, el proceso comienza igual que con cualquier otro SAN.  Por ejemplo, si el SAN es *.eu.example.com, la comprobación comenzará con eu.example.com.  Si se encuentra una etiqueta de emisión para globalsign.com (y no hay etiquetas issuewild), la comprobación CAA finalizará con éxito.  Si hay una etiqueta issue para globalsign.com y una etiqueta issuewild para una o más CA distintas de GlobalSign, la comprobación CAA fallará.  

Cómo crear registros CAA  

Hay varias formas  diferentes de modificar sus registros CAA de DNS. Consulte las siguientes guías:   

1. Cómo Agregar un Registro CAA de DNS en un DNS Hospedado 

2. Cómo Agregar un Registro CAA de DNS a un Archivo de Zona DNS 

IMPORTANTE: Si tiene algún problema o pregunta sobre si CAA es compatible con su configuración, póngase en contacto con su administrador de DNS para obtener más detalles.

Su registro DNS CAA debe contener «globalsign.com», como se muestra a continuación.  

Hacer que su DNS esté disponible públicamente  

Nuestro proceso de validación CAA requiere que encontremos la presencia de una entrada DNS para el FQDN o en la ruta hasta el dominio base . Entendemos que, en determinadas circunstancias, la seguridad o la política prohíben hacer públicos sus registros A, AA y MX y solo permiten que sean compatibles con la validación de dominio anual actual (que se reducirá a tan solo 47 días en los próximos años).  Como mínimo, debemos poder determinar si la zona DNS está firmada con DNSSEC o no.  

Si no puede hacer públicos sus registros DNS para respaldar la emisión frecuente, le recomendamos que utilice un enfoque de horizonte dividido en el que las redes internas y externas accedan al mismo nombre de dominio con diferentes direcciones IP.  También es posible proporcionar diferentes valores en función de la dirección IP de origen.   Existen numerosos artículos sobre el horizonte dividido, también conocido como vista dividida o cerebro dividido, que pueden guiarle hacia un enfoque que equilibre sus necesidades de seguridad con la capacidad de proporcionar una entrada DNS para su dominio para una validación CAA satisfactoria.  

Errores comunes  

Mensaje de error	Motivo	Solución recomendada
contenido del formulario: «example.com.»: «issue»=«another-ca.com»	El sistema ha detectado que los registros DNS del dominio (o de un dominio principal) contienen registros CAA que permiten la emisión para «another-ca.com», pero no para «globalsign.com». Tenga en cuenta que el dominio «example.com.» de este mensaje de error es donde se ha encontrado el registro CAA incorrecto y puede ser el dominio proporcionado en el SAN o un dominio principal.	Elimine todos los registros CAA o cree un nuevo registro CAA que permita la emisión de «globalsign.com» y, a continuación, intente aprobar el pedido de nuevo.  Tenga en cuenta que la propagación del registro DNS puede tardar hasta una hora.
SERVFAIL	Se devolverá una respuesta SERVFAIL en uno de estos dos casos:  No podemos conectarnos a los servidores DNS autoritativos: es posible que se encuentren detrás de un cortafuegos o que haya algún otro problema de enrutamiento.  Sus servidores han devuelto un error indicando que no pueden responder a esa consulta. No se da ninguna razón para el fallo.	En caso de una respuesta SERVFAIL, recomendamos que el cliente realice algunas pruebas manuales para ver si obtiene un SERVFAIL directamente de su servidor al realizar una búsqueda en él, y/o utilice una herramienta de propagación como DNS Checker - DNS Check Propagation Tool para ver si el servidor está disponible globalmente.  Asegúrese de que no haya restricciones de direcciones IP para acceder a los registros DNS.     Los errores SERVFAIL pueden ser transitorios (por ejemplo, debido a un problema temporal de enrutamiento en algún punto entre GlobalSign y el servidor DNS del cliente, o a un reinicio del servicio o similar). Si no se detecta ningún problema, vuelva a intentarlo.
No se cumplieron los requisitos de quórum	Las CA comprueban los valores de áreas geográficamente separadas de todo el mundo para protegerse contra los ataques locales de secuestro de DNS, como parte de los requisitos que debe cumplir el CA/Browser Forum.  En este caso, no hubo suficientes nodos remotos que coincidieran con nuestro nodo principal, por lo que el CAA falló.	En algunos casos, los clientes establecen restricciones geográficas para el acceso a sus registros DNS.  A partir de 2025, las CA estarán obligadas a comprobar los valores DNS de  múltiples regiones geográficamente separadas de todo el mundo como parte del requisito MPIC (Multi-Perspective Issuance Corroboration ) del CA/Browser Forum, por lo que es posible que los clientes tengan que abrir el acceso a nivel mundial.   Intente volver a emitir, ya que es posible que los registros DNS no se hayan propagado a nivel mundial.  Accederemos al DNS desde las siguientes  regiones, y esta lista puede actualizarse periódicamente:   Tokio, Japón   Londres   us-east-1    us-west-1    ca-central-1    eu-central-01    eu-north-1    ap-southeast-2
Tiempo de espera de E/S (sin respuesta)	El error de tiempo de espera implica que sus servidores de nombres están inactivos o no son accesibles.	Si aparece este mensaje de error, asegúrese de que sus servidores de nombres estén activos y funcionando y sean accesibles desde el exterior.    Póngase en contacto con su proveedor de DNS para verificar qué ha provocado el fallo en la respuesta del servidor DNS y colabore con ellos para resolver el problema. En caso de que haya un cortafuegos, asegúrese de que todas las direcciones IP tengan acceso a sus registros DNS. Cuando su servidor DNS esté correctamente configurado, puede volver a intentar verificar su pedido. Tenga en cuenta que las respuestas de la comprobación CAA se almacenan en caché durante un máximo de una (1) hora.