Elido
Centro de ayuda
Dominios personalizados

Solucionar errores TLS en un dominio personalizado

Por qué falló la emisión del certificado TLS y las tres soluciones que resuelven el 95% de los casos.

3 min de lecturaActualizado 2026-05-15

Lo que solucionarás

  • Comprueba los registros CAA para asegurarte de que Let's Encrypt sea una CA permitida — la causa más común de emisiones fallidas.
  • Desactiva el proxy de nube naranja de Cloudflare, que impide que Caddy complete su handshake TLS.
  • Identifica y espera una ventana de límite de velocidad de Let's Encrypt (50 certificados por dominio registrado por semana).

Si tu dominio personalizado está verificado pero los visitantes ven una advertencia TLS ("certificado no confiable", "ERR_CERT_AUTHORITY_INVALID"), Caddy no pudo obtener un certificado Let's Encrypt. Así es como se soluciona.

1. Comprobar registros CAA#

Esta es la causa número 1. Ejecuta:

dig CAA links.acme.com

Si ves 0 issue "digicert.com" o cualquier CA que no sea letsencrypt.org, Let's Encrypt está bloqueado y la emisión del certificado falla silenciosamente.

Solución: añade 0 issue "letsencrypt.org" a los registros CAA de tu dominio. Puedes mantener la CA existente para cualquier otro uso de certificado; CAA es aditivo.

Espera 1 hora para que se propague la CAA, luego haz clic en Reintentar verificación en el panel de control.

2. Comprobar proxy de Cloudflare#

Si tu proveedor de DNS es Cloudflare y el "estado del proxy" del registro muestra la nube naranja, Cloudflare está terminando TLS en su borde con su propio certificado. Esto interrumpe el handshake TLS a demanda de Caddy.

Solución: haz clic en la nube naranja para que se ponga gris (solo DNS). El CDN de Cloudflare es incompatible con nuestro borde — ya almacenamos en caché agresivamente en el POP de borde, por lo que no estás perdiendo nada.

Si necesitas absolutamente el proxy de Cloudflare (por ejemplo, reglas WAF), los planes Business admiten un modo de origen personalizado en el que apuntas Cloudflare a nuestra IP de borde y aceptamos la conexión proxied. Envía un correo electrónico a soporte para habilitarlo.

3. Comprobar límites de tasa#

Let's Encrypt limita la tasa a 50 certificados por dominio registrado por semana. Si has añadido muchos subdominios en un corto período, puedes alcanzar este límite.

Solución: espera. Reintentamos cada 12 horas, y la mayoría de las ventanas de límite de tasa se borran en 7 días. Los certificados ya emitidos siguen funcionando — solo se bloquea la nueva emisión.

Puedes confirmar el estado del límite de tasa consultando crt.sh para los certificados recientes de tu dominio.

¿Todavía no funciona?#

  • Consulta nuestra página de estado. A veces, Let's Encrypt tiene un incidente.
  • La página de detalles del dominio en el panel de control muestra el mensaje de error de Caddy más reciente textualmente — pégalo en el chat y lo diagnosticaremos juntos.
  • Para entornos air-gapped, puedes auto-hospedar Caddy con tu propia CA interna. La guía de auto-hosting cubre los cambios de configuración.

Una vez que funcione#

Ponte un recordatorio en 60 días para verificar que la renovación se realizó correctamente. Enviamos un correo electrónico al contacto de facturación del espacio de trabajo cuando la renovación tiene éxito (puedes optar por no recibirlo en Configuración → Notificaciones). Si la renovación falla, enviamos un correo electrónico y activamos un webhook para que tu sistema de alertas lo detecte.

¿Te ha sido útil?
¿Necesitas más? Escribe al equipo - respuesta en un día laborable.Contactar con soporte