Cómo validar correctamente los dominios mediante el registro DNS

5/3/2021 | Mgr. Marta Castro Aguila

En este artículo vamos a enseñarnos cómo validar el dominio mediante el registro DNS; esta validación se realiza a la hora de solicitar el certificado en todos los dominios incluidos en el pedido del certificado. La validación es realizada únicamente por autómata, y por lo tanto es necesario respetar las reglas establecidas.

Primera publicación el 31-1-2019, aktualizado el 5-3- 2021  

Qué es el registro DNS

El registro DNS es la información básica necesaria para que el dominio funcione bien. Permite dirigir los nombres de dominio y los subdominios a servidores correspondientes y sin DNS tendríamos que utilizar solamente direcciones IP imposibles de recordar. En lugar de yahoo.com, tendríamos que escribir al navegador 77.75.79.53, lo cual sería muy incómodo.

Este sistema de los nombres de dominio lo tiene a su disposición en cualquier registrador del dominio y su edición es fácil; véase el siguiente párrafo. Los registros DNS permiten utilizar muchos tipos para diferentes objetivos. Sin embargo, para nosotros es actual el tipo TXT, que sirve para añadir diferentes informaciones en forma de texto.

Configuración del registro DNS y su forma

Usted puede configurar el registro TXT de tipo TXT mediante edición de los registros DNS con su registrador. Conviene saber que en los registradores se utilizan dos principios del registro del dominio principal. O se indica en la base el dominio completo y el registro completo (es decir, por ejemplo algo.dominio.es) o no se indica el dominio básico y en lugar de él se utiliza el carácter "@" o subdominio ("algo" o @ en lugar del dominio desnudo.

Tenga en cuenta que el texto para la validación (random string) no se pone entre comillas y las comillas no se utilizan para validar.

Configure el propio registro TXT para la validación (random string) para el dominio básico. Si tiene más registros DNS en la zona del dominio puede configurar el registro verificador para el subdominio_dnsauth; así se evitarán colisiones con otros registros DNS y también la validación seguramente se realizará. Un registro TXT normal tiene esta forma:

Příklad nastavení DNS záznamu pro ověření

Después de que el registro DNS sea configurado el mismo se actualizará y estará disponible dentro de unos minutos. La autoridad certificadora pregunta en cortos períodos al servidor DNS asignado al dominio correspondiente y así adquirirá el nuevo registro sin notable demora. Seguramente no es necesario esperar una "ampliación" de los registros DNS como con modificaciones normales en el dominio.

Introducir el propio correo verificador en DNS

Esta nueva forma de validación combina la configuración de DNS y la validación por correo electrónico. Seguramente sabe que cuando valida por correo es necesario utilizar las direcciones a que llegan normalmente los mensajes verificadores (admin, administrator...). Si no dispone del correo en el dominio validado además de la cadena verificadora arriba mencionada puede autorizar en DNS el uso de otro correo electrónico para la validación.

La estructura del registro TXT en DNS luego es la siguiente:

_validation-contactemail.dominio.es IN TXT enrique@yahoo.com

Este procedimiento tiene la ventaja de que el correo electrónico está configurado en el dominio de manera permanente y los correos verificadores van a llegarle automáticamente; no necesita hacer nada más. Al contrario, la cadena verificadora en DNS debe ser configurada para cada pedido del certificado y su renovación.

Revisar el registro DNS

El nuevo registro DNS lo puede revisar de muchas formas. Para la mayoría de los usuarios lo más fácil es utilizar una validación a través de la web; para ello existen servicios como Dig (DNS lookup) de Google o Dig web interface, que ofrece opciones avanzadas. Estas herramientas web le mostrarán el resultado inmediatamente después de que introduzca la pregunta.

Si utiliza Linux, Unix o MacOS puede usar el programa Dig. Se activa fácilmente en el terminal mediante el comando dig A yahoo.com; tras el comando dig hay que especificar qué tipo del registro DNS quiere conseguir, es decir A, CNAME, TXT, MX, etc.

Después de introducir el comando recibirá inmediatamente la respuesta:

;; ANSWER SECTION: yahoo.com. 158 IN A 77.75.79.53
;; Query time: 2 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Thu Jan 31 09:11:02 CET 2019
;; MSG SIZE rcvd: 54

Si valida un registro TXT recién configurado en la parte derecha del registro podrá ver un texto para la validación: el llamado random string. Las comillas aparecen solamente en la respuesta, no forman parte del registro.

;; ANSWER SECTION: dominio.es. 3600 IN TXT "drvkpmgxlgn0y3s7mg7qnjd1ymhjyvqd"

En caso de problemas contacte con la Atención al Cliente

En casos muy excepcionales se puede producir una colisión entre registros o puede surgir otro problema que impediría finalizar la validación. Recomendamos esperar entre una o dos horas y si el certificado no está validado y emitido contactar con la Atención al Cliente, indicando el número del pedido o dominio.


Mgr. Marta Castro Aguila
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional 
e-mail: marta.castro-aguila(at)zoner.com