Un registro DNS que le dice al mundo qué Autoridades Certificadoras (CAs) están autorizadas a emitir certificados TLS para tu dominio. CAA = Certification Authority Authorization.
Por qué importa: si no estableces uno, cualquier CA puede emitir un certificado a tu nombre. Eso es un problema. Una CA rogue, una CA comprometida, o una CA con verificación laxa pueden crear certificados para tu infraestructura e interceptar tráfico. Los registros CAA son tus guardianes.
Ejemplo de registro CAA: ``` example.com. IN CAA 0 issue "letsencrypt.org" ```
Esto dice: solo Let's Encrypt puede emitir certificados para example.com. La mayoría de registries ahora soportan CAA; ICANN ha mandatado el cumplimiento de las preferencias CAA desde 2017, aunque la aplicación es desigual.
Los dominios de bunkerdomains soportan control completo de CAA vía archivo de zona o editor DNS de tu registrador. Si estás ejecutando una operación sensible o enfocada en privacidad, establece CAA temprano. No esperes hasta estar comprometido.