Elido
Hilfe-Center
Custom Domains

TLS-Fehler auf einer benutzerdefinierten Domain beheben

Warum die TLS-Zertifikatausstellung fehlgeschlagen ist und die drei Fixes, die 95 % der Fälle lösen.

2 Min. LesezeitAktualisiert 2026-05-15

Was Sie beheben

  • Prüfen Sie CAA-Einträge, um sicherzustellen, dass Let's Encrypt als erlaubte CA eingetragen ist — die häufigste Ursache fehlgeschlagener Ausstellungen.
  • Deaktivieren Sie den Cloudflare-Orange-Cloud-Proxy, der verhindert, dass Caddy seinen TLS-Handshake abschließt.
  • Erkennen und abwarten eines Let's Encrypt Rate-Limit-Fensters (50 Zertifikate pro registrierter Domain pro Woche).

Wenn Ihre benutzerdefinierte Domain verifiziert ist, aber Besucher eine TLS-Warnung sehen („Zertifikat nicht vertrauenswürdig", „ERR_CERT_AUTHORITY_INVALID"), konnte Caddy kein Let's Encrypt-Zertifikat erhalten. So beheben Sie es.

1. CAA-Einträge prüfen#

Dies ist die häufigste Ursache. Führen Sie aus:

dig CAA links.acme.com

Wenn Sie 0 issue "digicert.com" oder eine CA sehen, die nicht letsencrypt.org ist, wird Let's Encrypt blockiert und die Zertifikatausstellung schlägt lautlos fehl.

Lösung: Fügen Sie 0 issue "letsencrypt.org" zu den CAA-Einträgen Ihrer Domain hinzu. Sie können die vorhandene CA für andere Zertifikatsverwendungen behalten — CAA ist additiv.

Warten Sie 1 Stunde, bis die CAA-Propagierung abgeschlossen ist, und klicken Sie dann im Dashboard auf Verifizierung wiederholen.

2. Cloudflare-Proxy prüfen#

Wenn Ihr DNS-Anbieter Cloudflare ist und der Proxy-Status des Eintrags die orange Wolke zeigt, beendet Cloudflare TLS an seinem Edge mit seinem eigenen Zertifikat. Das bricht Caddys On-Demand-TLS-Handshake.

Lösung: Klicken Sie die orange Wolke auf grau (nur DNS). Cloudflares CDN ist mit unserem Edge nicht kompatibel — wir cachen bereits aggressiv am Edge-POP, daher verlieren Sie nichts.

Wenn Sie den Cloudflare-Proxy unbedingt benötigen (z. B. WAF-Regeln), unterstützen Business-Tarife einen benutzerdefinierten Origin-Modus, bei dem Sie Cloudflare auf unsere Edge-IP zeigen lassen und wir die proxied Verbindung akzeptieren. Schreiben Sie dem Support, um dies zu aktivieren.

3. Rate-Limits prüfen#

Let's Encrypt begrenzt auf 50 Zertifikate pro registrierter Domain pro Woche. Wenn Sie in kurzer Zeit viele Subdomains hinzugefügt haben, können Sie dieses Limit erreichen.

Lösung: Warten. Wir versuchen es alle 12 Stunden erneut, und die meisten Rate-Limit-Fenster laufen innerhalb von 7 Tagen ab. Bereits ausgestellte Zertifikate funktionieren weiterhin — nur neue Ausstellungen sind blockiert.

Sie können den Rate-Limit-Status bestätigen, indem Sie crt.sh für die aktuellen Zertifikate Ihrer Domain prüfen.

Immer noch kaputt?#

  • Prüfen Sie unsere Statusseite. Manchmal hat Let's Encrypt selbst einen Vorfall.
  • Die Domain-Detailseite im Dashboard zeigt die letzte Caddy-Fehlermeldung im Klartext — fügen Sie diese in den Chat ein und wir diagnostizieren gemeinsam.
  • Für Air-Gapped-Umgebungen können Sie Caddy selbst mit Ihrer eigenen internen CA hosten. Der Self-Hosting-Leitfaden deckt die Konfigurationsänderungen ab.

Sobald es funktioniert#

Setzen Sie sich eine Erinnerung in 60 Tagen, um zu überprüfen, ob die Erneuerung erfolgreich war. Wir mailen dem Rechnungskontakt des Workspace, wenn die Erneuerung erfolgreich ist (Sie können dies unter Einstellungen → Benachrichtigungen deaktivieren). Wenn die Erneuerung fehlschlägt, senden wir eine E-Mail und lösen einen Webhook aus, damit Ihr Alerting es erfasst.

War das hilfreich?
Noch Fragen? Schreiben Sie dem Team - Antwort innerhalb eines Werktages.Support kontaktieren