5 ago. 2022

Comprobación de CAA para Certificados SSL

Introducción

En línea con la Boleta 187 del Foro CA/B - Hacer que la verificación de CAA sea obligatoria, GlobalSign implementa la verificación de CAA para certificados SSL. CAA se valida antes de la emisión de todos los certificados SSL de confianza pública, a saber: AlphaSSL, DomainSSL, OrganizationSSL, ExtendedSSL, CloudSSL y CloudSSL SAN pedidos, y tras la emisión de dominios MSSL. Para los productos SSL validados por dominio, si la CAA está configurada incorrectamente, recibirá un error durante los pasos de validación de dominio, si ha comprado un producto de validación superior, el agente de verificación se pondrá en contacto con usted si su registro CAA de DNS no es compatible con GlobalSign.

La comprobación de CAA se lleva a cabo para mejorar la fortaleza del ecosistema de PKI con un control para restringir qué CA pueden emitir certificados para un nombre de dominio en particular. Las autoridades de certificación estarán obligadas a verificar los registros DE CAA de DNS y respetar esas preferencias. Si no hay ningún registro CAA de DNS presente, cualquier CA puede emitir un certificado para el dominio. Si hay un registro CAA dns presente, solo las CA enumeradas en los registros pueden emitir certificados para ese nombre de host. Además, al procesar registros CAA de DNS, GlobalSign procesará las etiquetas de propiedad issue, issuewild e iodef como se especifica en RFC 6844.

Errores Frecuentes 

Mensaje de Error	Causa	Solución
emisor = otro CA	Nuestro sistema ha detectado que sus registros CAA de DNS contienen, entradas y "globalsign.com" no es uno de ellos.	Agregue "globalsign.com" en las entradas de CAA e inténtelo de nuevo. Tenga en cuenta que esto puede tardar hasta una hora en propagarse para asegurarse de que se haya borrado la caché de registros de DNS CAA.
servfail	Este problema se debe a un error en la cadena de validación de DNSSEC. Podría ser que su zona de dominio no esté firmada o esté firmada incorrectamente.	Puede intentar utilizar un Depurador DNSSEC para solucionar el problema. Si tiene varios servidores de nombres, o servidores de nombres maestros y esclavos, asegúrese de que todos los servidores de nombres tengan la clave DNS y losRSIG correctos.  Póngase en contacto con su proveedor de DNS para verificar qué causa el error y trabaje con ellos para resolver el problema. Cuando su servidor DNS esté configurado correctamente, puede intentar de nuevo verificar su pedido. Tenga en cuenta que las respuestas de comprobación de CAA se almacenan en caché durante un máximo de una (1) hora.​​​​​​​ Nota: GlobalSign no administra este depurador de DNS. Si tiene problemas para usar la herramienta, comuníquese con ellos directamente.
i/o timeout (sin respuesta)	El error de timeout implica que los servidores de nombres están inactivos. Este error solo puede ocurrir para dominios habilitados para DNSSEC con servidores de nombres que no responden.	Si se le presenta este mensaje de error, asegúrese de que sus servidores de nombres estén en funcionamiento y accesibles externamente. Póngase en contacto con su proveedor de DNS para verificar qué causa la respuesta fallida del servidor DNS y trabaje con ellos para resolver el problema. En caso de que haya un firewall en su lugar, asegúrese de que esta dirección IP tenga acceso a sus registros DNS: 211.123.204.251. Cuando su servidor DNS esté configurado correctamente, puede intentar de nuevo verificar su pedido. Tenga en cuenta que las respuestas de comprobación de CAA se almacenan en caché durante un máximo de una (1) hora.

Información General de la Comprobación de CAA para SSL

¿Qué es Comprobación de CAA?

La comprobación CAA (Autorización de autoridad de certificación) es un control para restringir qué CA pueden emitir certificados para un nombre de dominio determinado. Al configurar el registro CAA de DNS, los propietarios de dominios pueden especificar qué entidades de certificación están autorizadas a emitir certificados para ese nombre de dominio. Hay 2 formas diferentes de modificar sus registros CAA de DNS. Consulte las siguientes pautas a continuación: 

1. Como agregar un registro CAA de DNS en un DNS hospedado
2. Cómo agregar un Registro CAA de DNS a un Archivo de Zona DNS

Nota: Si tiene algún problema o pregunta si CAA es compatible con su configuración, póngase en contacto con su administrador de DNS para obtener más detalles. 

¿Cómo funciona?

Los propietarios de dominios crean registros CAA dns que enumeran las CAA a las que permiten emitir certificados al dominio. Si un dominio tiene un registro CAA dns, solo las CA enumeradas en los registros pueden emitir certificados para ese dominio. Si no hay ningún registro CAA dns presente, cualquier CA puede emitir certificados para ese nombre de dominio.

¿Por qué es necesario?

Anteriormente, cualquier CA puede emitir un certificado para cualquier nombre de dominio, lo que hace que el ecosistema PKI sea vulnerable. Por lo tanto, el CA/Browser Forum a través de la Balota 187, hizo que la verificación de CAA fuera obligatoria para mejorar la fuerza del sistema PKI. 

¿Qué sucede con los certificados SSL que ya tengo?

Este cambio no afecta a los certificados SSL existentes. Sin embargo, para nuevas reediciones y renovaciones, si un dominio tiene un registro CAA de DNS y ninguno de esos registros contiene globalsign.com como emisor permitido, entonces GlobalSign tendría prohibido volver a emitir un certificado en ese dominio (o subdominio).

Su registro CAA de DNS debe contener "globalsign.com" como se muestra a continuación.
 

Referencias

1. Balota 187 - Hacer que la Verificación de CAA sea obligatoria
2. Requirimientos Iniciales
3. Registro de Recursos de Autorización de Entidad de Certificación (CAA) de DNS
4. ¿Qué es el CA/Browser Forum y cuál es su papel en la Seguridad de Internet?