ServerRecords

Ayuda y Resolución de problemas

Registro CAA

Qué es esto

Los registros CAA incluyen en una lista blanca qué autoridades de certificación pueden emitir certificados TLS para el dominio. Las CA están obligadas a comprobar el CAA antes de emitir; una CA que no esté en la lista debe negarse.

Cómo interpretar tu resultado

No tener un registro CAA significa que cualquier CA puede emitir (el comportamiento predeterminado anterior al CAA, común y aceptable). Si existen registros, asegúrate de que todas las CA que realmente usas estén en la lista, incluidas las que usa indirectamente tu CDN o plataforma de hosting.

Problemas comunes y cómo solucionarlos

El CAA bloquea la CA que usa tu automatización

Cómo se manifiesta: La renovación de certificados falla de repente (Let's Encrypt o tu CDN informan de un error de CAA) y el sitio muestra una advertencia de certificado caducado cuando el certificado antiguo expira.

Cómo solucionarlo: Agrega una entrada issue para la CA, por ejemplo 0 issue "letsencrypt.org", junto a las entradas existentes. Recuerda que plataformas como Cloudflare o Netlify emiten a través de sus propios socios de CA: revisa su documentación para saber qué entradas CAA necesitan.

Un CAA presente en el padre de un subdominio contradice lo que el subdominio necesita

Cómo se manifiesta: Los certificados se emiten bien para el sitio principal pero fallan para un subdominio alojado en una plataforma diferente.

Cómo solucionarlo: El CAA se hereda del ancestro más cercano que tenga uno. O amplías el CAA del padre para incluir la CA del subdominio, o estableces un registro CAA específico en el propio subdominio, lo cual anula el del padre para ese nombre.

Ejecutar una consulta para este registro