¿Qué significa la etiqueta issue?

La etiqueta issue autoriza a una autoridad de certificación a emitir certificados estándar (no wildcard) para el dominio. Ejemplo: issue "letsencrypt.org".

¿Cuál es la diferencia entre issue e issuewild?

issue autoriza certificados estándar, issuewild autoriza certificados wildcard (*.dominio.com). Puede autorizar CAs diferentes para cada tipo.

¿Para qué sirve la etiqueta iodef?

iodef indica dónde enviar los reportes de intentos de emisión no autorizados. Formato: iodef "mailto:security@dominio.com" o una URL HTTPS.

¿Cómo prohibir toda emisión de certificados?

Publique un registro CAA con issue ";" (solo punto y coma). Esto prohíbe a todas las CAs emitir certificados.

¿El CAA se hereda a los subdominios?

Sí, sin un CAA específico en un subdominio, se aplica la regla del apex. Puede definir excepciones por subdominio si es necesario.

Búsqueda registro CAA (Certificate Authority Authorization)

Controle qué autoridades pueden emitir certificados SSL/TLS

Proteja sus certificados SSL/TLS verificando que solo las autoridades autorizadas pueden emitirlos para su dominio.

Host

Tipo

Resolvedor

Trazado iterativo

En modo de traza iterativa, se ignora el resolvedor.

Prueba de propagación

Consulta varios resolvedores públicos para comparar las respuestas.

Política de certificación

Descubra qué autoridades de certificación (Let's Encrypt, DigiCert, etc.) están autorizadas a emitir certificados para el dominio.

Multi-resolutor

Compare las respuestas de Google, Cloudflare y Quad9 para detectar problemas de propagación.

Etiquetas issue e issuewild

Analice las autorizaciones para certificados estándar y wildcard por separado.

Alertas iodef

Verifique si hay una dirección de notificación configurada para intentos de emisión no autorizados.

Gratuito e ilimitado

Pruebe tantos dominios como necesite. Sin registro requerido.

¿Cómo usar correctamente las diferentes opciones del motor de búsqueda DNS?

¿Qué es la traza iterativa?

La traza ejecuta la resolución paso a paso. El resolvedor consulta primero a los servidores raíz, luego a los del TLD (.com, .fr, .eu) y finalmente a los servidores autoritativos de la zona objetivo. En cada etapa la página muestra el servidor consultado, la respuesta, el RCODE y la latencia.

1. Raíz
Descubrimiento de los servidores del TLD para el nombre solicitado.
2. TLD
Referencia a los NS de la zona (delegación).
3. Autoritativos
Respuesta final (o error) con TTL y latencia.

¿Para qué sirve?

Comparar respuestas según los resolvedores y las regiones
Detectar un caché caliente, un TTL demasiado largo o una delegación incompleta
Explicar una diferencia de latencia o un RCODE inesperado

Truco: deja la traza desactivada para las comprobaciones rápidas; actívala cuando investigues o prepares un ticket/post-mortem.

¿Qué es la traza clásica?

La traza clásica consulta únicamente el resolvedor seleccionado (UDP o DoH) y muestra la respuesta tal como se percibe desde ese punto de la red. Obtienes el RCODE, las secciones de la respuesta y la latencia del tramo cliente → resolvedor.

1. Resolvedor elegido
Utiliza el preset o la configuración personalizada para lanzar la consulta exactamente como lo haría tu servicio.
2. Protocolo conservado
Respeta el transporte seleccionado (UDP, TCP o DoH) para reproducir el comportamiento real.
3. Respuesta detallada
Muestra las secciones question, answer y authority/additional cuando existen, con TTL y metadatos útiles.

¿Por qué usarla?

Comprobar la visión de un resolvedor específico antes de sospechar de la delegación
Confirmar los valores en caché y el impacto de un TTL o de un vaciado
Documentar una resolución tal como la ve un cliente o un microservicio

Truco: deja desactivada la opción de traza iterativa cuando audites un resolvedor concreto; actívala después para compararla con el recorrido raíz → TLD → autoritativo.

¿Cómo funciona la prueba de propagación?

La prueba consulta en paralelo un conjunto de resolvedores públicos (Google, Cloudflare, Quad9, OpenDNS, ISP…) y agrupa las respuestas por contenido y RCODE. Ves al instante quién ya aplicó la actualización.

1. Resolvedores multipunto
Activa los presets de propagación para consultar a varios actores repartidos por el mundo.
2. Comparación automática
Agrupa las respuestas idénticas y señala las divergencias o los errores propios de cada resolvedor.
3. Resumen accionable
Ofrece un resumen claro, la lista de resolvedores, sus latencias y el estado de cada grupo.

¿Cuándo usarla?

Seguir la difusión de un cambio DNS a escala mundial
Identificar cachés aún antiguos y decidir un vaciado específico
Compartir un estado de propagación en un ticket o post-mortem

Truco: durante la prueba de propagación la selección de resolvedor queda bloqueada. Desactiva el modo para volver al diagnóstico unitario.

¿Qué es un registro CAA?

Un registro CAA (Certificate Authority Authorization) define qué autoridades de certificación (CA) están autorizadas a emitir certificados SSL/TLS para un dominio. Es una medida de seguridad que previene la emisión no autorizada de certificados.

Estructura de un registro CAA:

Campo	Descripción	Ejemplo
Flag	0 (estándar) o 128 (crítico)	`0`
Tag	Tipo de autorización	`issue`, `issuewild`, `iodef`
Valor	CA autorizada o dirección de contacto	`"letsencrypt.org"`
TTL	Duración de caché en segundos	`3600`

Tags CAA disponibles

issue - Certificados estándar

Autoriza una CA para certificados no wildcard:

captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issue "digicert.com"

issuewild - Certificados wildcard

Autoriza una CA para certificados wildcard (*.dominio):

captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

iodef - Notificaciones

Dirección para recibir reportes de intentos no autorizados:

captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Prohibir toda emisión

Bloquear todas las CAs:

captaindns.com.  3600  IN  CAA  0 issue ";"

Reglas importantes

Herencia y subdominios

Situación	Comportamiento
CAA en el apex	Se aplica a todos los subdominios
CAA en subdominio	Reemplaza la regla del apex para ese subdominio
Sin CAA	Sin restricción, cualquier CA puede emitir

Buenas prácticas

Práctica	Por qué
Limitar las CAs	Reducir la superficie de ataque
Configurar iodef	Ser alertado de intentos
Probar antes de producción	Evitar bloqueos

Problemas comunes

Certificado rechazado por la CA

La CA rechaza emitir porque no está en el CAA.

Verifique los registros CAA del dominio
Agregue la CA si es legítima
Espere la propagación

Wildcard bloqueado

Certificado wildcard rechazado a pesar de una etiqueta issue.

issuewild es requerido para wildcards
Agregue un registro issuewild
issue solo no cubre *.dominio

Subdominio no cubierto

Un subdominio tiene reglas diferentes.

Verifique el CAA específico del subdominio
La herencia puede ser reemplazada
Agregue el CAA al nivel del subdominio si es necesario

Verificación en línea de comandos

Linux/Mac

dig CAA captaindns.com

Verificar un subdominio:

dig CAA www.captaindns.com

Windows

nslookup -type=caa captaindns.com

Configuración recomendada

Ejemplo completo

; Autorizar Let's Encrypt para todos los certificados
captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

; Notificaciones de seguridad
captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Herramientas complementarias

Herramienta	Utilidad
Búsqueda TXT	Verificar otras políticas de seguridad
Propagación DNS	Verificar la propagación mundial