A partir del 7 de septiembre de 2017, los Requisitos Básicos del Foro de Navegadores y Autoridades de Certificación exigirán a todas las Autoridades de Certificación (CA) la comprobación de los registros de autorizaciones de Autoridad de Certificación (CAA) antes de emitir certificados. Ni los operadores de sitios web ni los administradores de dominios tendrán que realizar ninguna actualización para cumplir este nuevo requisito.
Las CAA son una medida de seguridad que permite a los propietarios de dominios especificar en sus servidores de nombre de dominio (DNS) qué CA están autorizadas para emitir certificados para sus dominios. En caso de que una CA reciba una solicitud de certificado para un dominio acompañada de un registro de CAA y dicha CA no figure como emisor autorizado, esta no podrá expedir el certificado para ese dominio ni ningún subdominio incluido en él
Ventajas de las CAA
Una de las ventajas de las CAA es que complementan los requisitos de Certificate Transparency (CT). Mientras que CT ofrece mecanismos que ayudan a los propietarios de dominios a identificar certificados emitidos erróneos o frecuentemente para sus dominios tras la emisión, las CAA contribuyen a evitar emisiones no autorizadas antes de que se produzcan. Juntas, estas dos herramientas permiten desarrollar un compendio de funciones de seguridad más adecuado que el que ninguna de ellas permitiría construir por sí sola.
Las CAA también pueden ayudar a las organizaciones que poseen CA normalizadas, desean normalizar sus CA, o limitar el número de CA que utilizan. Antes de la aparición de las CAA, las organizaciones no disponían de un método sencillo para aplicar este tipo de política, pero ahora que todas las CA están obligadas a comprobar los registros de CAA, ya pueden hacerlo fácilmente.
Implantación de CAA
Si bien la comprobación de los registros de CAA es obligatoria para todas las CA, su utilización es opcional para los propietarios de dominios. Por lo tanto, dependerá de usted decidir si desea implantarlas, y en caso de hacerlo podrá especificar varias CA si lo desea (consulte las notas de precaución en la parte final de este blog).
Las siguientes son las reglas de procesamiento aplicables a las CA:
- Sin registro de CAA: La CA puede emitir el certificado.
- El registro de CAA incluye a la CA: La CA puede emitir el certificado.
- Se dispone de un registro de CAA pero no incluye a la CA: La CA no puede emitir certificados.
Las CAA son compatibles con las siguientes propiedades:
- Issue: Permite a las CA emitir certificados (incluidos certificados comodín, a menos que estos hayan sido restringidos por Issuewild)
- Issuewild: Permite a las CA emitir un certificado comodín, pero no certificados que no sean comodín.
El siguiente es un ejemplo del código de CAA que añadiría a su archivo de zona DNS si quisiera autorizar a GlobalSign para emitir certificados para ejemplo.com:
CAA 0 issue “globalsign.com”
Recuerde que la comprobación de CAA comienza por el FQDN completo y procesa hasta el dominio de base, de modo que al validar el FQDN de www.es.ejemplo.com, la CA comprobará:
- www.es.ejemplo.com y, a continuación,
- es.ejemplo.com y, por último,
- ejemplo.com
Para obtener instrucciones detalladas sobre cómo añadir registros de CAA, incluidos los pasos a seguir en el caso de un DNS alojado, consulte nuestro artículo de asistencia asociado.
Actúe con precaución a la hora de actualizar CAA
Asegúrese de proceder con precaución a la hora de crear registros de CAA. Si otros departamentos de su organización solicitan certificados, deberá coordinarse con ellos a fin de asegurarse de que todas las CA que utilizan se añaden a sus registros de CAA. Puesto que la comprobación de CAA es obligatoria y da lugar a denegaciones que las CA no pueden revertir, es importante asegurarse de que el administrador de los DNS no paraliza la actividad de la empresa por este motivo. Además, si actualmente está recurriendo a un proveedor de servicios para sus soluciones de alojamiento, es posible que este esté protegiendo sus servidores con una CA con la que usted no mantiene ninguna relación directa, de modo que le recomendamos que tenga cuidado.
Una comprobación rápida que puede realizar para consultar los certificados de sus dominios es visitar herramienta de búsqueda de certificados e introducirlos en el buscador para obtener una lista de las CA que han emitido. No tire piedras a su propio tejado y actualice adecuadamente sus registros de CAA.
GlobalSign y las CAA
A partir del 28 de agosto de 2017, GlobalSign comenzará a utilizar CAA en sus servicios.
Tal y como mencionamos anteriormente, hemos creado una serie de artículos de asistencia que le ayudarán con su implantación y con la resolución de algunos de los errores más comunes. No obstante, si tiene cualquier pregunta adicional en relación con las CAA, no dude en ponerse en contacto con nosotros.