O que significa a tag issue?

A tag issue autoriza uma autoridade de certificação a emitir certificados standard (não-wildcard) para o domínio. Exemplo: issue "letsencrypt.org".

Qual é a diferença entre issue e issuewild?

issue autoriza certificados standard, issuewild autoriza certificados wildcard (*.dominio.com). Pode autorizar CAs diferentes para cada tipo.

Para que serve a tag iodef?

iodef indica onde enviar os relatórios de tentativas de emissão não autorizadas. Formato: iodef "mailto:security@dominio.com" ou uma URL HTTPS.

Como proibir toda a emissão de certificados?

Publique um registo CAA com issue ";" (apenas ponto e vírgula). Isto proíbe todas as CAs de emitir certificados.

O CAA herda-se para os subdomínios?

Sim, sem um CAA específico num subdomínio, aplica-se a regra do apex. Pode definir exceções por subdomínio se necessário.

Pesquisa registo CAA (Certificate Authority Authorization)

Controle quais autoridades podem emitir certificados SSL/TLS

Proteja os seus certificados SSL/TLS verificando que apenas as autoridades autorizadas podem emiti-los para o seu domínio.

Host

Tipo

Resolvedor

Rastreamento iterativo

No modo de rastreamento iterativo, o resolvedor é ignorado.

Teste de propagação

Consulta vários resolvedores públicos para comparar as respostas.

Política de certificação

Descubra quais autoridades de certificação (Let's Encrypt, DigiCert, etc.) estão autorizadas a emitir certificados para o domínio.

Multi-resolvedor

Compare as respostas do Google, Cloudflare e Quad9 para detetar problemas de propagação.

Tags issue e issuewild

Analise as autorizações para certificados standard e wildcard separadamente.

Alertas iodef

Verifique se há um endereço de notificação configurado para tentativas de emissão não autorizadas.

Gratuito e ilimitado

Teste quantos domínios precisar. Sem registo necessário.

Como utilizar corretamente as diferentes opções do motor de pesquisa DNS?

O que é a traçado iterativa?

A traçado executa a resolução passo a passo. O resolvedor consulta primeiro os servidores raiz, depois os do TLD (.com, .br, .pt) e, por fim, os servidores autoritativos da zona pretendida. Em cada etapa, a página mostra o servidor consultado, a resposta, o RCODE e a latência.

1. Raiz
Descoberta dos servidores do TLD para o nome solicitado.
2. TLD
Referência aos NS da zona (delegação).
3. Autoritativos
Resposta final (ou erro) com TTL e latência.

Para que serve?

Comparar respostas entre resolvedores e regiões
Detetar um cache quente, um TTL demasiado longo ou uma delegação incompleta
Explicar diferenças de latência ou um RCODE inesperado

Dica: deixe a traçado desativada para verificações rápidas; ative-a durante investigações ou para preparar um ticket/post-mortem.

O que é a traçado clássica?

A traçado clássica consulta apenas o resolvedor selecionado (UDP ou DoH) e mostra a resposta tal como é percecionada a partir desse ponto da rede. Obtém o RCODE, as secções da resposta e a latência do percurso cliente → resolvedor.

1. Resolvedor escolhido
Use o preset ou a configuração personalizada para lançar a consulta exatamente como o seu serviço faria.
2. Protocolo preservado
Respeita o transporte selecionado (UDP, TCP ou DoH) para reproduzir o comportamento real.
3. Resposta detalhada
Mostra as secções question, answer e authority/additional quando existirem, com TTL e metadados úteis.

Porque utilizá-la?

Verificar a visão de um resolvedor específico antes de suspeitar de delegação
Confirmar valores em cache e o impacto de um TTL ou de um flush
Documentar uma resolução tal como a vê um cliente ou microserviço

Dica: mantenha a traçado iterativa desativada quando auditar um resolvedor específico; ative-a depois para comparar com o percurso raiz → TLD → autoritativo.

Como funciona o teste de propagação?

O teste consulta em paralelo um conjunto de resolvedores públicos (Google, Cloudflare, Quad9, OpenDNS, ISP…) e agrupa as respostas por conteúdo e RCODE. Vê imediatamente quem já aplicou a atualização.

1. Resolvedores multiponto
Ative os presets de propagação para consultar vários atores distribuídos pelo mundo.
2. Comparação automática
Agrupa respostas idênticas e assinala divergências ou erros específicos de cada resolvedor.
3. Resumo acionável
Apresenta um resumo claro, a lista de resolvedores, latências e estado de cada grupo.

Quando usar?

Acompanhar a difusão de uma alteração DNS à escala global
Identificar caches ainda antigos e decidir um flush direcionado
Partilhar um estado de propagação num ticket ou post-mortem

Dica: durante o teste de propagação, a seleção de resolvedor fica bloqueada. Desative o modo para voltar ao diagnóstico unitário.

O que é um registo CAA?

Um registo CAA (Certificate Authority Authorization) define quais autoridades de certificação (CA) estão autorizadas a emitir certificados SSL/TLS para um domínio. É uma medida de segurança que previne a emissão não autorizada de certificados.

Estrutura de um registo CAA:

Campo	Descrição	Exemplo
Flag	0 (standard) ou 128 (crítico)	`0`
Tag	Tipo de autorização	`issue`, `issuewild`, `iodef`
Valor	CA autorizada ou endereço de contacto	`"letsencrypt.org"`
TTL	Duração da cache em segundos	`3600`

Tags CAA disponíveis

issue - Certificados standard

Autoriza uma CA para certificados não-wildcard:

captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issue "digicert.com"

issuewild - Certificados wildcard

Autoriza uma CA para certificados wildcard (*.domínio):

captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

iodef - Notificações

Endereço para receber relatórios de tentativas não autorizadas:

captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Proibir toda a emissão

Bloquear todas as CAs:

captaindns.com.  3600  IN  CAA  0 issue ";"

Regras importantes

Herança e subdomínios

Situação	Comportamento
CAA no apex	Aplica-se a todos os subdomínios
CAA em subdomínio	Substitui a regra do apex para esse subdomínio
Sem CAA	Sem restrição, qualquer CA pode emitir

Boas práticas

Prática	Porquê
Limitar as CAs	Reduzir a superfície de ataque
Configurar iodef	Ser alertado de tentativas
Testar antes de produção	Evitar bloqueios

Problemas comuns

Certificado recusado pela CA

A CA recusa emitir porque não está no CAA.

Verifique os registos CAA do domínio
Adicione a CA se for legítima
Aguarde a propagação

Wildcard bloqueado

Certificado wildcard recusado apesar de uma tag issue.

issuewild é necessário para wildcards
Adicione um registo issuewild
issue sozinho não cobre *.domínio

Subdomínio não coberto

Um subdomínio tem regras diferentes.

Verifique o CAA específico do subdomínio
A herança pode ser substituída
Adicione o CAA ao nível do subdomínio se necessário

Verificação em linha de comandos

Linux/Mac

dig CAA captaindns.com

Verificar um subdomínio:

dig CAA www.captaindns.com

Windows

nslookup -type=caa captaindns.com

Configuração recomendada

Exemplo completo

; Autorizar Let's Encrypt para todos os certificados
captaindns.com.  3600  IN  CAA  0 issue "letsencrypt.org"
captaindns.com.  3600  IN  CAA  0 issuewild "letsencrypt.org"

; Notificações de segurança
captaindns.com.  3600  IN  CAA  0 iodef "mailto:security@captaindns.com"

Ferramentas complementares

Ferramenta	Utilidade
Pesquisa TXT	Verificar outras políticas de segurança
Propagação DNS	Verificar a propagação mundial