Alta
Sin registros CAA --- cualquier CA puede emitir certificados
Categoría
Configuración SSL
Estado
ActivoConfianza
verified
Observado
2026-04-28
Resumen
dig CAA cartagena.gov.co retorna vacio. Cualquier autoridad certificadora publica puede emitir certificados a nombre del dominio sin restriccion.
Por qué importa
Combinado con monitoreo CT incompleto, un atacante puede generar certificados validos para spoofing sin que la Alcaldia lo detecte automaticamente.
Trazabilidad
Primera aparición
2026-04-28
Revisión
2026-06-27
Publicación
2026-06-27
Solución
—
Primera aparicion conocida en findings.json2026-04-28
Revision: promote2026-06-27
Publicado como hallazgo activo2026-06-27
Cómo mitigar
- •Habilitar DNSSEC en el proveedor DNS (registrar DS en zona padre, generar KSK/ZSK).
- •Publicar registros CAA limitando emisores autorizados (ej. Let's Encrypt, DigiCert).
- •Renovar certificado próximo a expirar — automatizar con ACME.