Saltar al contenido
D1
ES

Seguridad de certificados

Comprobador de registros CAA

Consulta registros CAA DNS en el apex del dominio, analiza issue, issuewild e iodef y revisa avisos de emisión.

Este formulario llama al endpoint relativo: /site-api/tools/caa

Cómo usar la herramienta

  1. CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Inventaria CAs actuales y futuras, publica issue para cada autoridad, añade issuewild si necesitas wildcard, opcionalmente iodef, y valida con esta herramienta antes del CSR o pedido ACME. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.
  2. CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Inventaria CAs actuales y futuras, publica issue para cada autoridad, añade issuewild si necesitas wildcard, opcionalmente iodef, y valida con esta herramienta antes del CSR o pedido ACME. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.
  3. CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Inventaria CAs actuales y futuras, publica issue para cada autoridad, añade issuewild si necesitas wildcard, opcionalmente iodef, y valida con esta herramienta antes del CSR o pedido ACME. Para «URLs iodef para reportes de incidentes», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.
  4. CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Inventaria CAs actuales y futuras, publica issue para cada autoridad, añade issuewild si necesitas wildcard, opcionalmente iodef, y valida con esta herramienta antes del CSR o pedido ACME. Para «CAA ausente e emisión permisiva», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.
  5. CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Inventaria CAs actuales y futuras, publica issue para cada autoridad, añade issuewild si necesitas wildcard, opcionalmente iodef, y valida con esta herramienta antes del CSR o pedido ACME. Para «comprobaciones CAA antes de renovar SSL», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.
  6. CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Inventaria CAs actuales y futuras, publica issue para cada autoridad, añade issuewild si necesitas wildcard, opcionalmente iodef, y valida con esta herramienta antes del CSR o pedido ACME. Para «semántica del flag crítico», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Qué muestra el resultado

El resultado separa las señales importantes para esta comprobación.

CampoPropósitoEjemplo
DominioCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Introduce el apex que certificarás o renovarás.
Nombre de consultaCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Confirma que existen registros CAA antes del pedido.
FoundCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «URLs iodef para reportes de incidentes», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Revisa issue para el hostname de tu CA.
ValidCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «CAA ausente e emisión permisiva», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Compara issuewild aparte de la política issue del apex.
RecordsCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «comprobaciones CAA antes de renovar SSL», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Añade iodef mailto o HTTPS cuando sea posible.
issueCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «semántica del flag crítico», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Vuelve a comprobar tras el TTL al migrar CA.
issuewildCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Introduce el apex que certificarás o renovarás.
iodefCAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.Confirma que existen registros CAA antes del pedido.

Cuándo ayuda esta comprobación

Úsalo en migraciones de CA, planificación wildcard, cuestionarios de seguridad y auditorías pre-renovación. CAA no sustituye la validación SSL — combínalo con SSL Certificate Checker tras la emisión. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Úsalo en migraciones de CA, planificación wildcard, cuestionarios de seguridad y auditorías pre-renovación. CAA no sustituye la validación SSL — combínalo con SSL Certificate Checker tras la emisión. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Úsalo en migraciones de CA, planificación wildcard, cuestionarios de seguridad y auditorías pre-renovación. CAA no sustituye la validación SSL — combínalo con SSL Certificate Checker tras la emisión. Para «URLs iodef para reportes de incidentes», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Úsalo en migraciones de CA, planificación wildcard, cuestionarios de seguridad y auditorías pre-renovación. CAA no sustituye la validación SSL — combínalo con SSL Certificate Checker tras la emisión. Para «CAA ausente e emisión permisiva», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Úsalo en migraciones de CA, planificación wildcard, cuestionarios de seguridad y auditorías pre-renovación. CAA no sustituye la validación SSL — combínalo con SSL Certificate Checker tras la emisión. Para «comprobaciones CAA antes de renovar SSL», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Úsalo en migraciones de CA, planificación wildcard, cuestionarios de seguridad y auditorías pre-renovación. CAA no sustituye la validación SSL — combínalo con SSL Certificate Checker tras la emisión. Para «semántica del flag crítico», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Qué revisar si el resultado parece incorrecto

Sin registros, consulta CAA en el FQDN exacto — normalmente el apex. Una respuesta vacía permite que cualquier CA pública emita. Tras cambios, espera TTL y compara con dig +short CAA example.com. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Sin registros, consulta CAA en el FQDN exacto — normalmente el apex. Una respuesta vacía permite que cualquier CA pública emita. Tras cambios, espera TTL y compara con dig +short CAA example.com. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Sin registros, consulta CAA en el FQDN exacto — normalmente el apex. Una respuesta vacía permite que cualquier CA pública emita. Tras cambios, espera TTL y compara con dig +short CAA example.com. Para «URLs iodef para reportes de incidentes», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Sin registros, consulta CAA en el FQDN exacto — normalmente el apex. Una respuesta vacía permite que cualquier CA pública emita. Tras cambios, espera TTL y compara con dig +short CAA example.com. Para «CAA ausente e emisión permisiva», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Sin registros, consulta CAA en el FQDN exacto — normalmente el apex. Una respuesta vacía permite que cualquier CA pública emita. Tras cambios, espera TTL y compara con dig +short CAA example.com. Para «comprobaciones CAA antes de renovar SSL», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Sin registros, consulta CAA en el FQDN exacto — normalmente el apex. Una respuesta vacía permite que cualquier CA pública emita. Tras cambios, espera TTL y compara con dig +short CAA example.com. Para «semántica del flag crítico», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Cómo interpretar el resultado

CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «URLs iodef para reportes de incidentes», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «CAA ausente e emisión permisiva», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «comprobaciones CAA antes de renovar SSL», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

CAA se publica como registros DNS CAA en el apex del dominio. Antes de emitir un certificado, las CA de confianza pública deben consultar CAA y respetar las etiquetas issue, issuewild e iodef. Para «semántica del flag crítico», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Flujo recomendado

  1. Introduce el apex que certificarás o renovarás.
  2. Confirma que existen registros CAA antes del pedido.
  3. Revisa issue para el hostname de tu CA.
  4. Compara issuewild aparte de la política issue del apex.
  5. Añade iodef mailto o HTTPS cuando sea posible.
  6. Vuelve a comprobar tras el TTL al migrar CA.

Herramienta frente a revisión manual

dig CAA example.com muestra RR crudos sin agrupar issue/issuewild ni explicar ausencia permisiva. DNS Checker lista CAA sin avisos de emisión. DN01 usa el mismo lookup Go que la API de producción. Para «etiqueta issue y autoridades autorizadas», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

dig CAA example.com muestra RR crudos sin agrupar issue/issuewild ni explicar ausencia permisiva. DNS Checker lista CAA sin avisos de emisión. DN01 usa el mismo lookup Go que la API de producción. Para «issuewild y certificados wildcard TLS», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

dig CAA example.com muestra RR crudos sin agrupar issue/issuewild ni explicar ausencia permisiva. DNS Checker lista CAA sin avisos de emisión. DN01 usa el mismo lookup Go que la API de producción. Para «URLs iodef para reportes de incidentes», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

dig CAA example.com muestra RR crudos sin agrupar issue/issuewild ni explicar ausencia permisiva. DNS Checker lista CAA sin avisos de emisión. DN01 usa el mismo lookup Go que la API de producción. Para «CAA ausente e emisión permisiva», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

dig CAA example.com muestra RR crudos sin agrupar issue/issuewild ni explicar ausencia permisiva. DNS Checker lista CAA sin avisos de emisión. DN01 usa el mismo lookup Go que la API de producción. Para «comprobaciones CAA antes de renovar SSL», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

dig CAA example.com muestra RR crudos sin agrupar issue/issuewild ni explicar ausencia permisiva. DNS Checker lista CAA sin avisos de emisión. DN01 usa el mismo lookup Go que la API de producción. Para «semántica del flag crítico», trata el CAA publicado como el contrato de emisión que las CA evalúan al pedir certificado. Documenta cada etiqueta, confirma la política wildcard por separado y verifica iodef antes de renovar. Tras cambios DNS, vuelve a ejecutar el mismo dominio.

Por qué usar DN01

  • Consulta CAA live en apex
  • Etiquetas issue, issuewild e iodef parseadas
  • Avisos cuando falta CAA
  • Notas sobre tags desconocidos y flag crítico
  • Se combina con herramientas SSL y DNS
  • URL compartible del resultado CAA

FAQ

Preguntas frecuentes CAA

Registros DNS CAA, etiquetas issue e issuewild, CAs autorizadas e iodef.

¿Qué es un registro CAA?

CAA es un tipo DNS que indica qué autoridades pueden emitir certificados TLS mediante issue, issuewild e iodef. guía de fundamentos CAA

¿Dónde publicar CAA?

Publique CAA en el apex del dominio certificado (example.com).

¿Diferencia entre issue e issuewild?

issue rige certificados normales; issuewild rige wildcard por separado según RFC 8659.

¿Cómo comprueba CAA DN01?

DN01 consulta CAA live en el apex, parsea etiquetas y marca policy ausente o desconocida.

¿Qué pasa si falta CAA?

Sin CAA, cualquier CA pública puede emitir — publique CAA antes de renovar.

¿Por qué comprobar CAA antes de renovar SSL?

Las migraciones de CA fallan si CAA bloquea al nuevo emisor — valide antes del pedido.

Cambiar herramienta

Elige el siguiente paso en tu flujo de trabajo de dominio o seguridad.

Catálogo completo de herramientas

Guías

Guías prácticas para tareas habituales con Comprobador de registros CAA: registros DNS, pasos de diagnóstico y enlaces a nuestras herramientas gratuitas.

Volver a Comprobador de registros CAA