Was Sie beheben
- Bestätigen Sie, dass die DNS-Einträge mit
digöffentlich sichtbar sind — nicht nur bei Ihrem Registrar. - Erkennen Sie die drei häufigsten Tippfehler-Muster: abschließende Punkte, vollständige FQDNs im Namensfeld, falscher Eintragstyp.
- Beheben Sie CAA-, DNSSEC- und Cloudflare-Proxy-Probleme, die TLS blockieren, selbst nachdem DNS verifiziert wurde.
Wenn Sie eine benutzerdefinierte Domain hinzufügen, fragt Elido DNS alle 30 Sekunden ab, um nach den Einträgen zu suchen, die Sie erstellen sollen. Normalerweise schließt die Verifizierung innerhalb von 60 Sekunden ab. Wenn es länger dauert, deckt diese Checkliste ab, was fast immer falsch ist.
Bestätigen Sie die Einträge von außerhalb Ihres Netzwerks#
Die erste Prüfung ist, ob die Einträge öffentlich sichtbar sind, nicht nur bei Ihrem Registrar.
dig links.acme.com CNAME +short
# erwartet: <etwas>.elido.me.
Für eine Apex-Domain:
dig acme.link A +short
# erwartet: 2 A-Einträge (Hetzner FRA + OVH FRA)
dig acme.link AAAA +short
# erwartet: IPv6 von einem dieser PoPs
Wenn dig nichts zurückgibt, hat der Registrar noch nicht propagiert — oder, häufiger, der Eintrag wurde mit einem Tippfehler gespeichert.
Häufige Tippfehler-Muster#
Vergleichen Sie den Eintragswert mit dem genauen Wert, den Elido Ihnen in Einstellungen → Domains → [Domain] → DNS-Einträge gezeigt hat. Die häufigsten Fehler:
- Abschließender Punkt. Einige Registrars erfordern
<ziel>.elido.me.(mit dem abschließenden Punkt); manche fügen ihn automatisch hinzu. Das Einfügen von<ziel>.elido.me.in einen Registrar, der ihn automatisch hinzufügt, ergibt<ziel>.elido.me..— ungültig. Versuchen Sie es ohne den abschließenden Punkt. - Hostname statt FQDN im Namensfeld. Für
links.acme.comwollen manche Registrarslinksim Namensfeld, nichtlinks.acme.com. Wenn Sie den vollständigen FQDN eingegeben haben, haben Sie tatsächlichlinks.acme.com.acme.comerstellt. - Falscher Eintragstyp. Eine Subdomain benötigt CNAME. Ein Apex benötigt A (oder ALIAS). Wenn Ihr Registrar kein Apex-CNAME-Flattening unterstützt, wechseln Sie zu A-Einträgen — wir stellen beide Optionen im DNS-Anweisungspanel bereit.
Apex-Domains (Zone-Root)#
CNAMEs am Apex sind durch die DNS-Spezifikation verboten. Wenn Sie acme.link (nicht links.acme.com) versuchen, haben Sie drei Optionen:
- Verwenden Sie die zwei A-Einträge, die wir bereitstellen. Funktioniert überall.
- Verwenden Sie ALIAS / ANAME, wenn Ihr Registrar dies unterstützt (Cloudflare, DNSimple, easyDNS). Es wird automatisch auf die richtigen A-Einträge aufgelöst.
- Wählen Sie stattdessen eine Subdomain.
go.acme.comoderlinks.acme.linkist einfacher und CDN-freundlicher als der Apex.
Cloudflare-Proxy (orange Wolke)#
Wenn Ihre Domain hinter dem Cloudflare-Proxy ist (orange Wolke an), funktioniert die DNS-Verifizierung noch, aber die TLS-Bereitstellung schlägt fehl. Cloudflare beendet TLS selbst, sodass unser Caddy den Besucher nie sieht und kein Zertifikat ausstellen kann.
Schalten Sie die orange Wolke aus (nur DNS / graue Wolke). Cloudflare dient dann nur als autoritativer DNS; wir übernehmen den Proxy.
Wenn Sie wirklich Cloudflares DDoS-Schutz davor brauchen, verwenden Sie Cloudflares Origin CA-Zertifikat und laden Sie es unter Einstellungen → Domains → [Domain] → Benutzerdefiniertes Zertifikat zu Elido hoch.
CAA-Einträge#
Wenn Ihre Domain CAA-Einträge hat, müssen diese Let's Encrypt erlauben:
dig acme.link CAA +short
# wenn das Ergebnis Zeilen hat, muss letsencrypt.org eine davon sein
Wenn Sie 0 issue "letsencrypt.org" in der Ausgabe sehen, ist alles in Ordnung. Wenn Sie CAA-Einträge nur für andere CAs sehen, fügen Sie einen für Let's Encrypt hinzu:
acme.link. CAA 0 issue "letsencrypt.org"
DNSSEC-Inkonsistenz#
Wenn Ihr Registrar DNSSEC aktiviert hat, aber die DS-Einträge nicht korrekt veröffentlicht wurden, geben öffentliche Resolver SERVFAIL zurück statt Ihrer Einträge. Führen Sie aus:
dig +trace links.acme.com
Wenn die Ablaufverfolgung mit SERVFAIL endet, beheben Sie DNSSEC bei Ihrem Registrar, bevor Sie fortfahren — normalerweise indem Sie DNSSEC deaktivieren, eine Stunde warten und mit den korrekten DS-Einträgen erneut aktivieren.
Verifizierungs-Polling-Frequenz#
Wir fragen DNS alle 30 Sekunden in der ersten Stunde nach dem Hinzufügen der Domain ab, dann alle 5 Minuten für die nächsten 24 Stunden, dann stündlich. Sie können jederzeit auf Jetzt verifizieren klicken, um eine sofortige Prüfung zu erzwingen.
Wenn Ihre Domain 24 Stunden lang auf „Ausstehend" verbleibt und dig von außerhalb Ihres Netzwerks die richtigen Einträge zeigt, klicken Sie einmal auf Jetzt verifizieren — manchmal bleibt ein zwischengespeichertes negatives Ergebnis von früherer Propagierung hängen.
Was „verifiziert, aber kein TLS" aussieht#
Wenn DNS verifiziert ist, aber die Domain länger als 10 Minuten „TLS ausstehend" anzeigt, hat Caddy Probleme mit Let's Encrypt. Ursachen:
- CAA-Einträge (siehe oben).
- Rate-Limiting durch Let's Encrypt (50 Zertifikate/Woche/registrierte Domain). Tritt nur bei sehr umfangreichen Rollouts auf.
- TLS-ALPN-Challenge durch eine vorgelagerte Firewall blockiert. Öffnen Sie Port 443 für unsere Ingress-IPs (auf unserer Trust-Seite aufgelistet).
Fehlerbehebung#
Verifizierung funktioniert von meinem Laptop, aber nicht vom Dashboard. Ihr Laptop verwendet Ihren lokalen DNS-Resolver; unser Verifizierer verwendet öffentliche Resolver (1.1.1.1, 8.8.8.8). Wenn Ihr Registrar noch nicht global propagiert hat, sehen öffentliche Resolver den Eintrag möglicherweise noch nicht. Verwenden Sie dig @1.1.1.1 links.acme.com, um zu bestätigen, was wir sehen.
Einträge sehen richtig aus, aber Verify schlägt weiterhin fehl. Senken Sie den TTL der Einträge auf 300 Sekunden und warten Sie 10 Minuten. Hohe TTLs machen negatives Caching schmerzhaft.
Apex-CNAME-Flattening war aktiviert, aber Verifizierung schlug fehl. Cloudflare flattened beim Abfragezeitpunkt, aber nur für Abfragen über Cloudflares Resolver. Öffentliche Resolver sehen den CNAME und lehnen ab. Wechseln Sie explizit zu A-Einträgen.