¿Por qué no cambia nada durante horas después de actualizar un registro?

**Caché.** Cada resolver de DNS (tu ISP, Google, Cloudflare) guarda una respuesta durante el tiempo de su **TTL** (Time To Live). Un TTL típico es **300 segundos (5 minutos)** para registros A, pero a menudo **86400 segundos (24h)** para registros NS. Hasta que el TTL caduca, el resolver devuelve el **valor antiguo** en lugar de preguntar de nuevo al servidor autoritativo. El **modo propagación** de esta herramienta muestra qué resolvers ya ven el nuevo valor y cuáles siguen sirviendo el anterior. Si necesitas un cambio rápido, **baja el TTL a 60 segundos un día antes** del cambio y vuelve a subirlo cuando todo esté bien.

¿Por qué el registro A devuelve varias IPs?

Porque el sitio tiene **varios servidores tras un balanceador de carga** (Cloudflare, AWS, Google y Facebook lo hacen así). El resolver devuelve la **lista completa** y el navegador elige una (normalmente la primera, aunque con `round-robin DNS` el orden se baraja en cada consulta). Para `google.com` verás de 4 a 6 direcciones. Para un sitio pequeño normalmente 1, para CDNs de 2 a 4. Es **normal** y mejora la resiliencia: si un servidor falla, el navegador prueba con el siguiente.

¿Qué significan "NXDOMAIN" y "SERVFAIL"?

Códigos de error de DNS: - **NXDOMAIN** = "este dominio no existe". O es una errata (`ejempllo.com`), un dominio caducado o uno que nunca se registró. - **SERVFAIL** = "el servidor DNS se ha atragantado". Suele ser una configuración DNSSEC rota (las firmas no validan), servidores NS inalcanzables o un problema del resolver. Prueba con otro resolver: si los demás responden bien, el problema es de ese resolver concreto. - **Timeout** = el servidor DNS no respondió en 10 segundos. Suele ser transitorio, vuelve a intentarlo. Si ves **NXDOMAIN** en un resolver y una respuesta válida en otro, probablemente la configuración esté inconsistente o la propagación siga en curso.

¿Qué es el TTL y cuáles son los valores típicos?

El **TTL (Time To Live)** es el número de segundos que un resolver puede cachear una respuesta. Valores habituales: - **Registros A/AAAA**: 300 segundos (5 min) a 3600 (1 hora). Un TTL más corto significa cambios más rápidos pero más consultas. - **Registros MX/TXT**: 3600 segundos (1 hora) a 86400 (24 horas). - **Registros NS**: normalmente 86400 (24h) o más, rara vez cambian. **Estrategia de migración**: 24 horas antes del cambio, baja el TTL a **60 segundos**. Cuando todo se estabilice, **súbelo de nuevo a 3600 o más**. Mantener el TTL permanentemente bajo significa que tu DNS responde cada consulta (más tráfico y coste) en lugar de dejar que otros cacheen las respuestas.

¿Por qué "dig" en la terminal muestra resultados distintos a esta herramienta?

Porque `dig` consulta por defecto a tu **resolver local** (tu ISP o router), mientras que esta herramienta consulta a **resolvers públicos** (Cloudflare 1.1.1.1, Google 8.8.8.8 y compañía). Si **tu ISP cachea** una respuesta vieja, `dig` la devolverá. Para comparar, usa `dig @1.1.1.1 ejemplo.com A` y `dig @8.8.8.8 ejemplo.com A`. Otro motivo: algunos routers domésticos ejecutan un **proxy DNS local** que secuestra las peticiones (por ejemplo, redirigiendo `dns.google` al resolver del propio router). Esta herramienta lo esquiva porque la consulta sale de nuestro servidor, no de tu red.

¿Cuál es la diferencia entre A y CNAME, y cuál debería usar?

**A** apunta directamente a una **dirección IP** (`93.184.215.14`). **CNAME** apunta a **otro nombre** (`ejemplo.com → cdn.cloudflare.net`), y ese nombre a su vez tiene un registro A. **Regla práctica**: si apuntas a tu propio servidor con IP estática, usa **A** (más rápido, una consulta en vez de dos). Si apuntas a un servicio en la nube (Cloudflare, AWS CloudFront, Vercel, Netlify), usa **CNAME**: ellos pueden cambiar sus IPs y tu dominio seguirá funcionando. **Aviso**: el **dominio apex** (`ejemplo.com` por sí mismo) no puede ser legalmente un CNAME según la RFC. Cloudflare y AWS Route 53 lo resuelven con "**ALIAS**" o "**CNAME flattening**".

¿Para qué sirve un registro CAA?

Un registro **CAA (Certification Authority Authorization)** indica **quién puede emitir un certificado SSL** para tu dominio. Sin CAA, cualquier autoridad de confianza (Let's Encrypt, DigiCert, Sectigo, GoDaddy) podría en teoría emitir un certificado para tu dominio. Con CAA configurado a `letsencrypt.org`, **solo Let's Encrypt** emitirá: a cualquier otra se le denegará. Esto protege frente a **emisiones rogue de certificados** si la cuenta de otra autoridad se ve comprometida. **Ejemplo**: `0 issue "letsencrypt.org"` = solo LE. `0 issue ";"` = nadie puede emitir (útil para subdominios que no usas).

¿Por qué Yandex / AdGuard / ControlD devuelven resultados distintos a Cloudflare?

Porque no todos los resolvers devuelven **la misma respuesta**, hacen cosas extra: - **Cloudflare 1.1.1.1, Google 8.8.8.8**: DNS plano, sin filtrado - **Quad9**: bloquea dominios maliciosos conocidos (malware, phishing) - **AdGuard 94.140.14.14**: bloquea anuncios y rastreadores, algunos dominios devuelven `0.0.0.0` - **ControlD**: filtro configurable (lo define el operador) - **NextDNS**: filtro configurable por usuario - **OpenDNS**: bloqueos por categoría (contenido adulto, por ejemplo) Si ves una **diferencia** en un dominio popular, no es un fallo de DNS, es el **filtro del resolver**. Para un dominio reciente (recién creado o modificado), la diferencia suele significar que **la caché aún no ha expirado** en algunos resolvers.

¿Guardáis mis consultas?

No. **Tu dominio llega a nuestro servidor, consultamos resolvers DNS públicos y te devolvemos la respuesta**. No guardamos consultas, no registramos IPs, no creamos perfiles. Lo único que mantenemos en memoria es un **contador de peticiones por IP** (límite de 30 por hora) para proteger el servidor de abusos. El contador se reinicia cada hora y nunca contiene el contenido de la consulta. Para los registros A/AAAA usamos además el endpoint público ip-api.com para obtener el ASN/ISP de las IPs resueltas (solo la IP del servidor de destino, nunca la tuya).

Consulta DNS - gratis | YourDevTools

Consulta DNS: descubre adónde apunta tu dominio ahora mismo

Acabas de cambiar un registro A en tu registrador y esperas que el mundo vea el nuevo servidor. Un proveedor te ha pedido por correo "cambia tu registro MX a este". Un cliente te pregunta si tu dominio tiene un registro SPF configurado. Todas estas dudas tienen una misma respuesta: pregunta al DNS, la guía telefónica de internet.

Esta herramienta consulta resolvers públicos de DNS (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9, OpenDNS y otros 4) y te muestra qué registros son visibles ahora mismo para tu dominio. Sin necesidad de instalar dig, abrir una terminal ni esperar a que tu ISP libere una respuesta cacheada.

Modo simple: una consulta rápida a Cloudflare, cada registro en menos de un segundo. Modo propagación: la petición se reparte entre 8 resolvers a la vez y verás una matriz que indica si tu cambio ha llegado a todos los rincones de internet. Útil al migrar el correo, mover un servidor o esperar a que expire una caché vieja.

Cómo usarla

Escribe un dominio (sin `https://` ni ruta): por ejemplo `ejemplo.com`, `mail.acme.io`, `blog.persona.dev`. También funciona con un subdominio si quieres comprobar un servicio concreto.
Elige los tipos de registro: pulsa las pastillas `A`, `MX`, `TXT` para consultar solo lo que necesitas. Pulsa `All` para pedir todos los tipos estándar de golpe (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA).
Cada pastilla es un selector múltiple: pulsa una vez para añadirla, otra vez para quitarla. `A` está seleccionado por defecto.
Activa "Comprobar propagación" (interruptor inferior) cuando hayas cambiado un registro y quieras verificar si ya ha llegado a todos. La consulta se reparte entre 8 resolvers públicos.
Pulsa Consultar y espera de 1 a 3 segundos. El resultado es una tabla de registros: valor, TTL (cuánto tiempo se cachea la respuesta, en segundos o minutos) y prioridad para los registros MX.
Para los registros `A` y `AAAA` (IPs del servidor) la herramienta también obtiene el PTR (nombre inverso) y el ASN/ISP (propietario de la red, por ejemplo "AS13335 Cloudflare"): de un vistazo sabes si el dominio está en Cloudflare, AWS o Hetzner.
En modo propagación obtienes una matriz de 8 columnas: una por resolver, una marca verde cuando ya ve el nuevo valor y un guion cuando todavía sirve el anterior. Ideal para seguir una migración en vivo.

Cuándo es útil

Siete situaciones típicas en las que la herramienta da una respuesta concreta en vez de un "creo que funciona":

Verificar una migración de servidor. Has cambiado el registro A de `212.x.x.x` a `185.y.y.y`. Lanzas una comprobación de propagación: cuando los 8 resolvers devuelvan la nueva IP, podrás apagar el servidor antiguo sin riesgo. Si uno o dos (por ejemplo Yandex) todavía mantienen el valor anterior, dales unas horas.
Depurar la entrega de correo. Un cliente dice "no me llegan tus correos". Compruebas su registro MX: la prioridad 10 apunta a un hostname con una errata. Lo arreglas en 5 minutos.
Verificar que DKIM/SPF funcionan. Tus boletines siempre acaban en el spam de Gmail. Consultas los registros TXT en `_dmarc.empresa.com`, `default._domainkey.empresa.com` y el apex (el SPF empieza por `v=spf1`). Ves exactamente qué falta.
Apuntar un subdominio mediante CNAME. Un cliente te pide enlazar `tienda.marca.com` con su tienda Shopify. Tras el cambio consultas el CNAME: ves `shops.myshopify.com` y sabes que el enlace funciona.
Auditar un dominio antes de comprarlo. Miras el dominio de otra persona: registros NS (qué servidores de nombres), SOA (quién administra, último incremento de serial), A (¿apunta a algo vivo?). 30 segundos y sabes si el dominio está abandonado o en uso activo.
Comprobar quién aloja a un competidor. Tecleas su dominio, miras el registro A, la herramienta saca el ASN (p. ej. "AS16509 Amazon AWS" o "AS13335 Cloudflare"). Sabes si tienen su propio servidor, si están en la nube o si se esconden tras un CDN.
Verificar que tienes un registro CAA. Los registros CAA indican qué autoridades de certificación pueden emitir certificados SSL para tu dominio (por ejemplo, solo Let's Encrypt). Sin CAA, cualquier autoridad puede emitirlos. Una revisión anual mantiene la disciplina.

¿Necesitas más contexto? La consulta WHOIS muestra el registrador, el titular y la fecha de caducidad del mismo dominio. El inspector de certificados SSL confirma qué certificado se sirve realmente y cuándo caduca. ¿En plena migración? Sigue cada resolver en tiempo real en la matriz de propagación DNS.

Preguntas y respuestas

El DNS es la guía telefónica de internet: convierte un nombre como `ejemplo.com` en la IP de un servidor (`93.184.215.14`). Pero hay muchos tipos de servidores y servicios, así que el DNS guarda distintos tipos de registro. A = dirección IPv4 de un servidor web. AAAA = dirección IPv6. MX = servidor de correo (con prioridad, que indica el orden de preferencia). TXT = texto libre, usado para SPF, DKIM, DMARC (autenticación de correo) y verificaciones con Google Search Console y similares. CNAME = "este nombre es un alias de otro nombre". NS = qué servidores DNS son autoritativos para el dominio. SOA = metadatos del dominio (quién administra, intervalos de refresco). CAA = qué autoridades de certificación SSL pueden emitir certificados para este dominio.

Consulta DNS: descubre adónde apunta tu dominio ahora mismo

Cómo usarla

Escribe un dominio (sin `https://` ni ruta): por ejemplo `ejemplo.com`, `mail.acme.io`, `blog.persona.dev`. También funciona con un subdominio si quieres comprobar un servicio concreto.

Elige los tipos de registro: pulsa las pastillas `A`, `MX`, `TXT` para consultar solo lo que necesitas. Pulsa `All` para pedir todos los tipos estándar de golpe (A, AAAA, MX, TXT, CNAME, NS, SOA, CAA).

Cada pastilla es un selector múltiple: pulsa una vez para añadirla, otra vez para quitarla. `A` está seleccionado por defecto.

Activa "Comprobar propagación" (interruptor inferior) cuando hayas cambiado un registro y quieras verificar si ya ha llegado a todos. La consulta se reparte entre 8 resolvers públicos.

Pulsa Consultar y espera de 1 a 3 segundos. El resultado es una tabla de registros: valor, TTL (cuánto tiempo se cachea la respuesta, en segundos o minutos) y prioridad para los registros MX.

Para los registros `A` y `AAAA` (IPs del servidor) la herramienta también obtiene el PTR (nombre inverso) y el ASN/ISP (propietario de la red, por ejemplo "AS13335 Cloudflare"): de un vistazo sabes si el dominio está en Cloudflare, AWS o Hetzner.

En modo propagación obtienes una matriz de 8 columnas: una por resolver, una marca verde cuando ya ve el nuevo valor y un guion cuando todavía sirve el anterior. Ideal para seguir una migración en vivo.

Cuándo es útil

Siete situaciones típicas en las que la herramienta da una respuesta concreta en vez de un "creo que funciona":

Verificar una migración de servidor. Has cambiado el registro A de `212.x.x.x` a `185.y.y.y`. Lanzas una comprobación de propagación: cuando los 8 resolvers devuelvan la nueva IP, podrás apagar el servidor antiguo sin riesgo. Si uno o dos (por ejemplo Yandex) todavía mantienen el valor anterior, dales unas horas.
Depurar la entrega de correo. Un cliente dice "no me llegan tus correos". Compruebas su registro MX: la prioridad 10 apunta a un hostname con una errata. Lo arreglas en 5 minutos.
Verificar que DKIM/SPF funcionan. Tus boletines siempre acaban en el spam de Gmail. Consultas los registros TXT en `_dmarc.empresa.com`, `default._domainkey.empresa.com` y el apex (el SPF empieza por `v=spf1`). Ves exactamente qué falta.
Apuntar un subdominio mediante CNAME. Un cliente te pide enlazar `tienda.marca.com` con su tienda Shopify. Tras el cambio consultas el CNAME: ves `shops.myshopify.com` y sabes que el enlace funciona.
Auditar un dominio antes de comprarlo. Miras el dominio de otra persona: registros NS (qué servidores de nombres), SOA (quién administra, último incremento de serial), A (¿apunta a algo vivo?). 30 segundos y sabes si el dominio está abandonado o en uso activo.
Comprobar quién aloja a un competidor. Tecleas su dominio, miras el registro A, la herramienta saca el ASN (p. ej. "AS16509 Amazon AWS" o "AS13335 Cloudflare"). Sabes si tienen su propio servidor, si están en la nube o si se esconden tras un CDN.
Verificar que tienes un registro CAA. Los registros CAA indican qué autoridades de certificación pueden emitir certificados SSL para tu dominio (por ejemplo, solo Let's Encrypt). Sin CAA, cualquier autoridad puede emitirlos. Una revisión anual mantiene la disciplina.

Preguntas y respuestas