Hallazgosf-cartagena-no-caa
Alta

Sin registros CAA --- cualquier CA puede emitir certificados

Categoría

Configuración SSL

Estado

Activo

Confianza

verified

Observado

2026-04-28

Resumen

dig CAA cartagena.gov.co retorna vacio. Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion.

Por qué importa

Combinado con monitoreo CT incompleto, un atacante puede generar certificados validos para spoofing sin que la Alcaldia lo detecte automaticamente.

Trazabilidad

Primera aparición

2026-04-28

Revisión

2026-06-27

Publicación

2026-06-27

Solución

Primera aparicion conocida en findings.json2026-04-28
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27

Cómo mitigar

  • Habilitar DNSSEC en el proveedor DNS (registrar DS en zona padre, generar KSK/ZSK).
  • Publicar registros CAA limitando emisores autorizados (ej. Let's Encrypt, DigiCert).
  • Renovar certificado próximo a expirar — automatizar con ACME.

Entidades afectadas (1)

ID: f-cartagena-no-caa·Origen: Pipeline territorial