Segurança de certificados
Verificador de registros CAA
Consulte registros CAA DNS no apex do domínio, analise issue, issuewild e iodef e revise avisos de emissão.
Como usar a ferramenta
- CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
- CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
- CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
- CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
- CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
- CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
O que o resultado mostra
O resultado separa os sinais importantes para esta verificação.
| Campo | Finalidade | Exemplo |
|---|---|---|
| Domínio | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Informe o apex a certificar ou renovar. |
| Nome da consulta | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Confirme registros CAA antes do pedido. |
| Found | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Revise issue para o hostname da CA. |
| Valid | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Compare issuewild separado da policy issue do apex. |
| Records | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Adicione iodef mailto ou HTTPS quando possível. |
| issue | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Execute novamente após TTL ao migrar CA. |
| issuewild | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Informe o apex a certificar ou renovar. |
| iodef | CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio. | Confirme registros CAA antes do pedido. |
Quando esta verificação ajuda
Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
O que revisar se o resultado parecer errado
Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Como interpretar o resultado
CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Fluxo recomendado
- Informe o apex a certificar ou renovar.
- Confirme registros CAA antes do pedido.
- Revise issue para o hostname da CA.
- Compare issuewild separado da policy issue do apex.
- Adicione iodef mailto ou HTTPS quando possível.
- Execute novamente após TTL ao migrar CA.
Ferramenta vs verificação manual
dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
Por que usar DN01
- Lookup CAA live no apex
- Tags issue, issuewild e iodef parseadas
- Avisos quando CAA falta
- Notas sobre tag desconhecida e flag crítico
- Combina com ferramentas SSL e DNS
- URL compartilhável do resultado CAA
FAQ
FAQ verificador CAA
Registros DNS CAA, tags issue e issuewild, CAs autorizadas e iodef.
O que é registro CAA?
CAA é um tipo DNS que lista CAs autorizadas a emitir certificados TLS via issue, issuewild e iodef. guia fundamentos CAA
Onde publicar CAA?
Publique CAA no apex do domínio certificado (example.com).
Diferença entre issue e issuewild?
issue rege certificados normais; issuewild rege wildcard separadamente (RFC 8659).
Como o DN01 verifica CAA?
DN01 consulta CAA live no apex, parseia tags e marca policy ausente ou desconhecida.
O que acontece sem CAA?
Sem CAA, qualquer CA pública pode emitir — publique CAA antes da renovação.
Por que checar CAA antes de renovar SSL?
Migrações de CA falham se CAA bloqueia o novo emissor — valide antes do pedido.
Troca de ferramenta
Continue com outra verificação
Escolha a próxima etapa no seu fluxo de domínio ou segurança.
- Verificador de Certificado SSLCadeia de certificados, SAN e versão TLSAbrir
- Verificador DNSTodos os tipos de registro em uma passagemAbrir
- DIGUm tipo de registro, resposta estilo resolverAbrir
- Encontrar IP do domínioIPs A e AAAA de um domínioAbrir
- Verificador de idade do domínioCriação, idade, registrador e expiraçãoAbrir
- WHOISRegistrador, expiração e status do domínioAbrir
- Verificador de Cabeçalhos HTTPCabeçalhos de resposta, redirecionamentos e cacheAbrir
- Testador HTTP/2Suporte HTTP/2, ALPN e TLSAbrir
- Verificador de Lista NegraReputação DNSBL para IP e domínioAbrir
- Conversor PunycodeUnicode ↔ Punycode para domínios IDNAbrir
- Separador de URLSepara URL em partes e parâmetrosAbrir
- Codec Base64Codificar e decodificar texto Base64Abrir
- Gerador de SenhasSenhas aleatórias fortes para trabalho operacionalAbrir
- Verificador de força da senhaEntropia, tempo de quebra e dicasAbrir
- Gerador de frases-senhaFrases aleatórias memoráveis para testes segurosAbrir
- BIN CheckerBandeira, banco e país do cartão pelo BIN/IINAbrir
- Calculadora IPCálculos de sub-rede para CIDR IPv4 e IPv6Abrir
- Verificador de atualização do navegadorVersão do navegador, atualização e Client HintsAbrir
- Validador SPFValide TXT SPF, mechanisms e terminal allAbrir
- Analisador DMARCPolítica DMARC, alinhamento e relatóriosAbrir
Artigos relacionados
Guias práticas para tarefas comuns com Verificador de registros CAA — registros DNS, passos de diagnóstico e links para nossas ferramentas gratuitas.
caa record basics, caa record checker, caa dns
Fundamentos de CAA no apex do domínio
Fundamentos de CAA no apex do domínio. CAA restringe quais CAs públicas confiáveis podem emitir certificados TLS via registros DNS CAA no apex. DN01 retorna tags parseadas, avisos, recomendações e URL compartilhável após mudanças DNS.
Ler artigo →issue tag authorized cas, caa record checker, caa dns
Tag issue e autoridades de certificação autorizadas
Tag issue e autoridades de certificação autorizadas. CAA restringe quais CAs públicas confiáveis podem emitir certificados TLS via registros DNS CAA no apex. DN01 retorna tags parseadas, avisos, recomendações e URL compartilhável após mudanças DNS.
Ler artigo →issuewild wildcard certificates, caa record checker, caa dns
issuewild e certificados TLS wildcard
issuewild e certificados TLS wildcard. CAA restringe quais CAs públicas confiáveis podem emitir certificados TLS via registros DNS CAA no apex. DN01 retorna tags parseadas, avisos, recomendações e URL compartilhável após mudanças DNS.
Ler artigo →iodef incident reporting, caa record checker, caa dns
Reporte iodef para violações de política de certificado
Reporte iodef para violações de política de certificado. CAA restringe quais CAs públicas confiáveis podem emitir certificados TLS via registros DNS CAA no apex. DN01 retorna tags parseadas, avisos, recomendações e URL compartilhável após mudanças DNS.
Ler artigo →caa before ssl renewal, caa record checker, caa dns
Checagens CAA antes de renovar SSL
Checagens CAA antes de renovar SSL. CAA restringe quais CAs públicas confiáveis podem emitir certificados TLS via registros DNS CAA no apex. DN01 retorna tags parseadas, avisos, recomendações e URL compartilhável após mudanças DNS.
Ler artigo →shareable caa record checker results, caa record checker, caa dns
Páginas de resultado compartilháveis do verificador CAA
Páginas de resultado compartilháveis do verificador CAA. CAA restringe quais CAs públicas confiáveis podem emitir certificados TLS via registros DNS CAA no apex. DN01 retorna tags parseadas, avisos, recomendações e URL compartilhável após mudanças DNS.
Ler artigo →