CAA significa Autorización de autoridad certificadora (intenta decirlo cinco veces más rápido), pero no dejes que ese bocado te desanime. CAA, un tipo específico de registro DNS, permite a los propietarios de sitios web dictar qué autoridades de certificación (CA) pueden emitir certificados para sus nombres de dominio. Esto se estandarizó inicialmente en 2013 y se perfeccionó a su forma actual en 2019, como se describe en RFC 8659 y RFC 8657. De forma predeterminada, cualquier CA pública puede emitir certificados para cualquier dominio dentro del DNS público, siempre que validen la propiedad del dominio; sin embargo, esto significa que un solo fallo en el proceso de validación de cualquier CA pública podría poner en peligro todos los nombres de dominio. Afortunadamente, CAA ofrece a los titulares de dominios una protección que mitiga este riesgo general.
En términos más simples, CAA es una forma para que los propietarios de dominios especifiquen qué autoridades de certificación (CA) pueden emitir certificados para su dominio.
La CAA opera en los pasillos oscuros del Sistema de Nombres de Dominio (DNS). Dentro de estos corredores, el propietario del dominio establece registros CAA, estableciendo efectivamente la ley sobre las cuales las CA tienen luz verde para emitir certificados.
Cuando una CA recibe una solicitud de un certificado, no se limita a emitirlo a ciegas: primero, comprueba el DNS en busca de registros CAA. Si encuentran uno y no están en la lista, no podrán emitir ese certificado.
Cambiemos de tema por un momento. Imagínese esto: usted es propietario de un dominio y ha puesto sangre, sudor y lágrimas (y posiblemente demasiada cafeína) para configurar un sitio web seguro. Lo último que desea es que una CA deshonesta emita un certificado para su dominio, lo que podría permitir que los malos actores se hagan pasar por su sitio y causen estragos. Ahí es donde interviene una CAA.
Protección: Al especificar qué CA pueden emitir certificados para su dominio, reduce el riesgo de que se emitan certificados fraudulentos.
Control: Como propietario del dominio, ¡tú tienes voz y voto! Tú decides quién entra y quién sale.
Auditoría: La CAA también puede ayudar durante las auditorías al dejar claro qué CA están autorizadas, agilizar el proceso y facilitar la identificación de cualquier discrepancia.
Para crear una CAA, debe tener una lista de las autoridades de certificación que aprueba actualmente para emitir certificados. Se recomienda utilizar una herramienta con un creador de CAA integrado para verificar que está aprobando todas las CA que está actualmente en uso y para evitar una interrupción causada por no incluir una CA crítica.
Si bien los registros CAA impiden que los atacantes emitan certificados para su dominio, como en ataques de robo de dominio, ataques como el ataque DigiNotar no serían prevenidos por una CAA ya que el atacante pasaría por alto la CAA. Si bien es posible que no se detenga, tener un Monitor de Registro de Transparencia de Certificados que tenga una detección de infracción de CAA le alertará si alguna autoridad de certificación no figura en su CAA. emite un certificado para su dominio, detectando el ataque antes de que los atacantes puedan atacar a sus usuarios.
