El registro CAA puede bloquear la emisión del certificado

CAA es una sigla para un tipo del registro DNS que en la zona DNS de su dominio determina cuál de las autoridades certificadoras puede emitir para el mismo el certificado. Sirve para impedir que sea emitido un certificado falso por una autoridad diferente de la que ha elegido. Sin embargo, esta herramienta a menudo les impide a nuestros clientes emitir un certificado de DigiCert. Pues bien, vamos a ver cómo solucionar este problema.

Por qué se utiliza un registro CAA

Si una autoridad certificadora "no cualificada" recibiera pedido de emisión del certificado para su dominio primero debería autorizarlo a partir de CAA con el titular del dominio. En absoluto debería emitir el certificado automáticamente. Todas las AC del mundo hoy en día ya tienen que respetar el registro CAA, con lo cual el titular del dominio dispone de una fuerte herramienta para su protección. Sin embargo, el registro CAA a menudo les impide a nuestros clientes emitir un certificado de DigiCert y ellos ni siquiera se dan cuenta. Busquemos solución a este problema.

Qué hacer si el certificado sigue sin estar emitido

Si el dominio en el certificado está emitido, y eventualmente también la compañía, en la mayoría de los casos impide la emisión de los certificados solo el registro CAA en DNS. Puede comprobar fácilmente el estado de la validación del certificado en su administración de cliente no obstante, el registro CAA lo gestiona únicamente usted. Es necesario comprobar los registros DNS del cominio validado; sin embargo, solo una persona con acceso a los registros DNS del dominio puede editarlos.

Compruebe los registros CAA en DNS

Abra cualquier herramienta para comprobar DNS, por ejemplo Google Dig o utilice dig en la interfaz de línea de comandos. Compruebe la presencia de los registros CAA en el dominio validado: en el caso de Google Dig introduzca el nombre del dominio en el campo Nombre y haga clic en el tipo CAA.

El resultado lo podrá ver inmediatamente: o el registro CAA está configurado en el dominio y lo verá en el box junto con su validez (TTL) o la respuesta será Record not found! (es decir, no existe ningún registro CAA y por lo tanto no puede impedir la emisión).

Aquí hay un ejemplo de colisión: más abajo aparece junto al dominio solo una AC diferente, debido a lo cual DigiCert no puede emitir el certificado para este dominio. ;; ANSWER SECTION:
dominio.es 600 IN CAA 1 issue "letsencrypt.org"

Modifique o borre el registro CAA

Si en el dominio hay un registro CAA en colisión en DNS es necesario modificar la zona DNS del dominio. Lo puede hacer con el registrador o administrador de su dominio, nosotros no tenemos acceso a DNS.

En el caso de colisión hay dos opciones: O añadir el registro CAA para digicert.com, que funciona para todas las AC en nuestra oferta, o borrar el registro en colisión. En nuestro caso, los registros CAA podrían tener la siguiente forma: ;; ANSWER SECTION:
dominio.es 600 IN CAA 1 issue "letsencrypt.org"
dominio.es 600 IN CAA 1 issue "digicert.com"

Después de esta modificación, el certificado será emitido automáticamente sin problema puesto que el cambio será evidente típicamente dentro de una hora y DigiCert se lo cargará. En caso contrario contacte con nuestro soporte.