Autorización de Entidades de Certificación (CAA)

La Autorización de Entidades de Certificación (Certificate Authority Authorization, CAA) pretende reducir el riesgo de emisión de certificados SSL/TLS sin el conocimiento previo del propietario.

Cómo funciona

La descripción más simple de la CAA es que es un registro DNS que anota las Entidades de Certificación permitidas para emitir certificados para tu dominio. Se requerirá que una EC compruebe este registro antes de emitir un certificado y emitir solamente el certificado si están autorizados a hacerlo.
Un registro CAA tiene la siguiente estructura:
flag tag ca

• ‘flag‘ sólo puede contener 0 o 128. 0 define el registro como obligatorio, 128 lo define como opcional. De momento recomendamos ponerlo como obligatorio, ‘0’
• ‘tag‘ fija el tipo de registro CAA, puede ser ‘issue’ o ‘issuewild’. Esto define las siguientes opciones:
  • ‘issue’ permite a la Enticad de Certificación emitir solamente certificados ‘normales’ para ese dominio.
  • ‘issuewild’ permite que la EC pueda emitir certificados comodín (wildcard) para ese dominio.
• ‘ca‘ indica qué EC tiene permiso para emitir certificados.

Configurar un registro CAA

Hay una herramienta fantástica en sslmate llamada CAA Record Generator, que hace exactamente lo que su nombre indica. Solamente hay que introducir el nombre del dominio, seleccionar la EC que quieres autorizar y añadir una dirección de correo para recibir notificaciones. La herramienta retorna un registro DNS (CAA) que puedes copiar y pegar en tu zona DNS. Una zona DNS con la forma más simple de CAA tiene este aspecto:
Ejemplo simple para Comodo
example.com. IN    CAA   0 issue "comodoca.com"
Ejemplo simple para Symantec
example.com. IN    CAA   0 issue "symantec.com"
Ejemplo simple para RapidSSL
example.com. IN    CAA   0 issue "rapidssl.com"
Ejemplo simple para Thawte
example.com. IN    CAA   0 issue "thawte.com"
Ejemplo simple para GeoTrust
example.com. IN    CAA   0 issue "geotrust.com"