La extensión ACME CAA se vuelve obligatoria

26/6/2026 | Petra Salašová

A partir de marzo de 2027, todas las autoridades de certificación deberán admitir la extensión ACME CAA, lo que marca un avance importante hacia una verificación de dominios más segura y basada en criptografía. ¿Qué cambios traerá en la emisión de certificados TLS/SSL y cómo funciona en la práctica el registro CAA ampliado?

Actualidades

¿Cómo se convirtió la extensión del registro CAA en obligatoria?

Chrome es un defensor desde hace mucho tiempo de la automatización y su apoyo es un tema central del llamado Programa raíz, en el que Google en febrero de 2026 comenzó a exigir el soporte de ACME CAA por parte de las autoridades, con el objetivo de promover la automatización de ACME. Luego, en mayo de 2026, el Foro CA/Navegador en el voto SC-098v2 votó para ampliar el soporte del nuevo registro CAA entre las autoridades de certificación y desde marzo de 2027 establece el soporte de ACME CAA como completamente obligatorio para todas las autoridades.

¿Por qué era necesario el cambio?

El sistema actual de funcionamiento de PKI web es suficiente para los usos comunes, es decir, para la seguridad de las páginas web que no enfrentan amenazas serias. Sin embargo, las páginas web significativas necesitan estar mejor protegidas durante el proceso de obtención de certificados. Aunque el ecosistema de PKI web ha sido mejorado durante décadas y se basa en normas y controles elaborados, en su núcleo enfrenta dos problemas que, aunque simplifican todo el proceso, traen como consecuencia menores requisitos de seguridad:

  • Falta de autenticación del solicitante: Cualquiera en el mundo puede solicitar un certificado para cualquier dominio. Si pasa el proceso de verificación de dominio, la autoridad emitirá el certificado al solicitante incluso sin autorización por parte del propietario del dominio.
  • Proceso de verificación vulnerable: Las autoridades de certificación comúnmente verifican la propiedad del dominio a través de DNS no seguros o tráfico HTTP común durante la solicitud del certificado. Cualquiera que pueda intervenir en el proceso de verificación puede comprometer y falsificar la verificación del dominio.

¿Cómo se ve un registro ACME CAA?

Las debilidades mencionadas del PKI web se pueden resolver utilizando el estándar de Autorización de Autoridad de Certificación, o CAA, que está diseñado para permitir a los propietarios de dominios publicar sus políticas para la emisión de certificados.

La versión básica del estándar CAA es obligatoria desde septiembre de 2017. Sin embargo, este registro CAA clásico en DNS solo permite determinar qué autoridad de certificación (por ejemplo, DigiCert) puede emitir un certificado para un dominio específico. La nueva extensión obligatoria de ACME va mucho más allá y permite añadir condiciones muy detalladas al registro. En práctica, el nuevo registro extendido podría verse así:

example.com. CAA 0 issue "digicert.org;
accounturi=https://acme-v02.api.
digicert.org/acme/acct/1726001367;
validationmethods=dns-01"

A la izquierda tenemos el nombre del dominio para el cual queremos tener el control sobre la emisión de certificados. A la derecha, tenemos tres variables:

  • La primera es el nombre de la CA que tiene permitido emitir certificados para el dominio especificado.
  • La segunda variable es la instrucción "accounturi", que limita la emisión de certificados solo a la cuenta ACME nombrada. Dado que ACME siempre utiliza cifrado y autenticación criptográfica fuerte, la parte "accounturi" asegura que solo los usuarios autorizados puedan solicitar certificados para ese nombre de dominio. Puedes definir la ID exacta o URL de tu cuenta ACME en DigiCert. Nadie más, aunque controle parte de tu red, podrá generar un certificado en tu nombre porque la autoridad solo aceptará la solicitud de una cuenta del propietario que esté cifrada y verificada criptográficamente.
  • La tercera instrucción "validationmethods" limita la emisión de certificados al uso de un solo método de validación basado en DNS. DNSSEC activo (extensión obligatoria desde marzo de 2026) asegurará que toda la verificación sea completamente segura desde el punto de vista criptográfico.

El registro anterior, por lo tanto, dice: El certificado solo puede ser emitido por DigiCert para la cuenta ACME nº 1726001367 y exclusivamente a través de verificación por DNS.

¿Qué significa esta novedad para ti?

A partir del próximo año, todas las autoridades en el mercado tendrán que respetar la nueva extensión. Después de eso, solo dependerá de ti si y cuándo configurará esta medida de seguridad avanzada en DNS.

Fuente:

ACME CAA Extensions to Become Mandatory
Artículo anterior

Lic. Petra Salasova
Especialista en los certificados SSL de seguridad
Symantec Sales Expert Plus certificado 
e-mail: petra.salasova(at)zoner.com