CAA (Certification Authority Authorization) es un registro DNS que apareció en 2017 con el propósito de permitir o prohibir a determinadas autoridades de certificación emitir certificados SSL para un dominio. Antes de emitir un certificado, las autoridades de certificación realizan una consulta y verificación de los registros en la configuración DNS del dominio.
En caso de que un atacante obtenga acceso temporal a su dominio, tendrá la posibilidad de emitir un certificado para su dominio con el objetivo de interceptar datos. La presencia de un registro CAA, dependiendo de la configuración, puede complicar significativamente o incluso impedir esto.
Los servicios de alojamiento virtual y de alojamiento DNS admiten este tipo de registros, y si lo desea, puede agregarlos.
Formato del registro:
CAA <flags> <tag> <value>
1. Ejemplo. Prohibir a todas las autoridades la emisión de certificados
domain.tld. IN CAA 0 issue ";"
2. Ejemplo. Permitir la emisión solo a determinadas autoridades de certificación y prohibir a las demás
domain.tld. IN CAA 0 issue "comodoca.com"
domain.tld. IN CAA 0 issue "letsencrypt.org"
domain.tld. IN CAA 0 issuewild ";"
Para generar un registro en línea, puede utilizar el conveniente servicio de creación de registros CAA.