Ir para o conteúdo
D1
PT

Segurança de certificados

Verificador de registros CAA

Consulte registros CAA DNS no apex do domínio, analise issue, issuewild e iodef e revise avisos de emissão.

Este formulário chama o endpoint relativo: /site-api/tools/caa

Como usar a ferramenta

  1. CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
  2. CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
  3. CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
  4. CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
  5. CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.
  6. CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Inventarie CAs atuais e futuras, publique issue para cada autoridade, adicione issuewild se wildcard for necessário, iodef opcional, valide antes de CSR ou pedido ACME. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

O que o resultado mostra

O resultado separa os sinais importantes para esta verificação.

CampoFinalidadeExemplo
DomínioCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Informe o apex a certificar ou renovar.
Nome da consultaCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Confirme registros CAA antes do pedido.
FoundCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Revise issue para o hostname da CA.
ValidCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Compare issuewild separado da policy issue do apex.
RecordsCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Adicione iodef mailto ou HTTPS quando possível.
issueCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Execute novamente após TTL ao migrar CA.
issuewildCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Informe o apex a certificar ou renovar.
iodefCAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.Confirme registros CAA antes do pedido.

Quando esta verificação ajuda

Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Use em migrações de CA, planejamento wildcard, questionários de segurança e auditorias pré-renovação. CAA não substitui validação SSL — combine com SSL Certificate Checker após emissão. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

O que revisar se o resultado parecer errado

Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Sem registros, consulte CAA no FQDN exato — normalmente apex. Resposta vazia permite qualquer CA pública. Após mudanças, aguarde TTL e compare com dig +short CAA example.com. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Como interpretar o resultado

CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

CAA é publicado como registros DNS CAA no apex do domínio. Antes de emitir certificado, CAs públicas confiáveis devem consultar CAA e respeitar tags issue, issuewild e iodef. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Fluxo recomendado

  1. Informe o apex a certificar ou renovar.
  2. Confirme registros CAA antes do pedido.
  3. Revise issue para o hostname da CA.
  4. Compare issuewild separado da policy issue do apex.
  5. Adicione iodef mailto ou HTTPS quando possível.
  6. Execute novamente após TTL ao migrar CA.

Ferramenta vs verificação manual

dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «tag issue e autoridades autorizadas», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «issuewild e certificados wildcard TLS», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «URLs iodef para reporte de incidentes», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «CAA ausente e emissão permissiva», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «checagens CAA antes de renovar SSL», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

dig CAA example.com mostra RR brutos sem agrupar issue/issuewild. DNS Checker lista CAA sem avisos de emissão. DN01 usa o mesmo lookup Go da API de produção. Para «semântica do flag crítico», trate o CAA publicado como o contrato de emissão avaliado pelas CAs no pedido. Documente cada tag, confirme policy wildcard separadamente e verifique iodef antes da renovação. Após mudanças DNS, execute novamente o mesmo domínio.

Por que usar DN01

  • Lookup CAA live no apex
  • Tags issue, issuewild e iodef parseadas
  • Avisos quando CAA falta
  • Notas sobre tag desconhecida e flag crítico
  • Combina com ferramentas SSL e DNS
  • URL compartilhável do resultado CAA

FAQ

FAQ verificador CAA

Registros DNS CAA, tags issue e issuewild, CAs autorizadas e iodef.

O que é registro CAA?

CAA é um tipo DNS que lista CAs autorizadas a emitir certificados TLS via issue, issuewild e iodef. guia fundamentos CAA

Onde publicar CAA?

Publique CAA no apex do domínio certificado (example.com).

Diferença entre issue e issuewild?

issue rege certificados normais; issuewild rege wildcard separadamente (RFC 8659).

Como o DN01 verifica CAA?

DN01 consulta CAA live no apex, parseia tags e marca policy ausente ou desconhecida.

O que acontece sem CAA?

Sem CAA, qualquer CA pública pode emitir — publique CAA antes da renovação.

Por que checar CAA antes de renovar SSL?

Migrações de CA falham se CAA bloqueia o novo emissor — valide antes do pedido.

Troca de ferramenta

Escolha a próxima etapa no seu fluxo de domínio ou segurança.

Catálogo completo de ferramentas

Guias

Guias práticas para tarefas comuns com Verificador de registros CAA — registros DNS, passos de diagnóstico e links para nossas ferramentas gratuitas.

Voltar para Verificador de registros CAA