Preguntas frecuentes sobre la Autorización de la Autoridad de Certificación (CAA)

En este artículo, se responden varias preguntas frecuentes sobre los registros DNS de CAA.


¿Qué es la CAA?

Un registro de Autorización de la Autoridad de Certificación permite que los propietarios de dominio restrinjan la emisión de Autoridades de Certificación (CA) específicas. Los registros de CAA evitan que las CA emitan certificados bajo ciertas circunstancias.  Consulta el RFC 6844 para obtener más detalles.


¿Cómo evalúa Cloudflare los registros de CAA?

Una CA evalúa los registros de CAA, no Cloudflare.

Configurar un registro de CAA para especificar una o más CA particulares no afecta qué CA utilizará Cloudflare para emitir un certificado Universal SSL o dedicado para tu dominio.

¿Por qué debo deshabilitar Universal SSL si mis registros de CAA excluyen la emisión de Universal SSL?

Ya que los certificados Universal SSL se comparten entre clientes, tus registros de CAA pueden evitar la emisión de Universal SSL de otro cliente. Por este motivo, Cloudflare debe deshabilitar Universal SSL para tu dominio con el fin de asegurar que tus registros de CAA no afectan a otros clientes.

Si Universal SSL de Cloudflare está habilitada en tu dominio, los proveedores de CA de Universal SSL comodoca.com, digicert.com y letsencrypt.org añaden automáticamente los registros de CAA.

Si no necesitas Universal SSL de Cloudflare, deshabilita Universal SSL en la aplicación SSL/TLS.

Deshabilitar Universal SSL dejará tus registros DNS habilitados para Cloudflare sin compatibilidad con SSL, a menos que hayas cargado un certificado SSL personalizado (requiere un plan Business o Enterprise).

¿Qué registros están añadidos para mantener habilitado Universal SSL?

Los siguientes registros DNS se configuran automáticamente si continúas usando los certificados Universal SSL gratuitos de Cloudflare:

ejemplo.com. IN CAA 0 issue "comodoca.com"ejemplo.com. IN CAA 0 issue "digicert.com"ejemplo.com. IN CAA 0 issue "letsencrypt.org"ejemplo.com. IN CAA 0 issuewild "comodoca.com"ejemplo.com. IN CAA 0 issuewild "digicert.com"ejemplo.com. IN CAA 0 issuewild "letsencrypt.org"
No uses la opción Solo permitir comodines para el registro raíz (que solo devuelve registros issuewild) para cualquier dominio que use Universal SSL de Cloudflare.

Utilizado de manera independiente, issuewild solo permite la emisión de comodines.  Por este motivo, Cloudflare no puede añadir tu dominio raíz al certificado, a menos que especifiques la opción Permitir comodines y nombres de host específicos en el menú desplegable Etiqueta:

configuring_caa_records_comodoca_annotated.png


¿Qué ocurre cuando se deshabilita Universal SSL?

Tu nombre de dominio se quita inmediatamente del certificado Universal SSL y tus usuarios observarán los errores SSL, a menos que cargues un certificado SSL personalizado (requiere un plan Business o Enterprise).


¿Cómo vuelvo a habilitar Universal SSL?

Archiva un vale de asistencia con el equipo de asistencia de Cloudflare.


¿Cuáles son los riesgos de configurar registros de CAA?

Si eres parte de una organización grande o de una donde varias partes tienen la tarea de obtener certificados SSL, incluye registros de CAA que permitan la emisión para todas las CA aplicables para tu organización.  Si no lo haces, se puede bloquear inadvertidamente la emisión de SSL para otras partes de tu organización.

 

 

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk