Media
Ausencia de registros CAA — cualquier CA puede emitir certificados
Categoría
Configuración SSL
Confianza
verified
Observado
2026-04-28
Resumen
dig CAA supersalud.gov.co retorna vacio. Combinado con CT logs publicos que solo muestran el apex (sub-reporte), la entidad pierde monitoreo de emisiones no autorizadas.
Por qué importa
Un atacante con acceso a cualquier CA publica puede emitir certificados validos a nombre del dominio sin que la entidad lo detecte automaticamente.
Cómo mitigar
- •Habilitar DNSSEC en el proveedor DNS (registrar DS en zona padre, generar KSK/ZSK).
- •Publicar registros CAA limitando emisores autorizados (ej. Let's Encrypt, DigiCert).
- •Renovar certificado próximo a expirar — automatizar con ACME.