Elido
Centre d'aide
Domaines personnalisés

Résoudre les erreurs TLS sur un domaine personnalisé

Pourquoi l'émission du certificat TLS a échoué et les trois correctifs qui résolvent 95 % des cas.

3 min de lectureMis à jour 2026-05-15

Ce que vous allez résoudre

  • Vérifier les enregistrements CAA pour s'assurer que Let's Encrypt est une CA autorisée — la cause la plus fréquente d'échec d'émission.
  • Désactiver le proxy nuage orange de Cloudflare, qui empêche Caddy de terminer son handshake TLS.
  • Identifier et attendre la fin d'une fenêtre de limitation de débit Let's Encrypt (50 certificats par domaine enregistré par semaine).

Si votre domaine personnalisé est vérifié mais que les visiteurs voient un avertissement TLS (« certificat non approuvé », « ERR_CERT_AUTHORITY_INVALID »), Caddy n'a pas pu obtenir un certificat Let's Encrypt. Voici comment le corriger.

1. Vérifier les enregistrements CAA#

C'est la cause numéro 1. Exécutez :

dig CAA links.acme.com

Si vous voyez 0 issue "digicert.com" ou une CA qui n'est pas letsencrypt.org, Let's Encrypt est bloqué et l'émission du certificat échoue silencieusement.

Correctif : ajoutez 0 issue "letsencrypt.org" aux enregistrements CAA de votre domaine. Vous pouvez conserver la CA existante pour tout autre usage de certificat — CAA est additif.

Attendez 1 heure que la propagation CAA se termine, puis cliquez sur Réessayer la vérification dans le tableau de bord.

2. Vérifier le proxy Cloudflare#

Si votre fournisseur DNS est Cloudflare et que le « statut proxy » de l'enregistrement affiche le nuage orange, Cloudflare termine le TLS à son edge avec son propre certificat. Cela casse le handshake TLS à la demande de Caddy.

Correctif : cliquez sur le nuage orange pour le passer en gris (DNS uniquement). Le CDN de Cloudflare est incompatible avec notre edge — nous mettons déjà en cache de manière agressive au niveau du POP edge, vous ne perdez donc rien.

Si vous avez absolument besoin du proxy Cloudflare (par exemple pour les règles WAF), les tarifs Business supportent un mode d'origine personnalisé où vous pointez Cloudflare vers notre IP edge et nous acceptons la connexion proxifiée. Contactez le support pour l'activer.

3. Vérifier les limites de débit#

Let's Encrypt limite à 50 certificats par domaine enregistré par semaine. Si vous avez ajouté beaucoup de sous-domaines en peu de temps, vous pouvez atteindre cette limite.

Correctif : attendez. Nous réessayons toutes les 12 heures, et la plupart des fenêtres de limitation de débit se libèrent dans les 7 jours. Les certificats déjà émis continuent de fonctionner — seule la nouvelle émission est bloquée.

Vous pouvez confirmer le statut de la limite de débit en vérifiant crt.sh pour les certificats récents de votre domaine.

Toujours cassé ?#

  • Vérifiez notre page de statut. Parfois Let's Encrypt lui-même a un incident.
  • La page de détail du domaine dans le tableau de bord affiche le message d'erreur Caddy le plus récent verbatim — collez-le dans le chat et nous diagnostiquerons ensemble.
  • Pour les environnements air-gapped, vous pouvez héberger Caddy vous-même avec votre propre CA interne. Le guide d'auto-hébergement couvre les modifications de configuration.

Une fois que ça fonctionne#

Définissez-vous un rappel dans 60 jours pour vérifier que le renouvellement a réussi. Nous envoyons un e-mail au contact de facturation de l'espace de travail lorsque le renouvellement réussit (vous pouvez vous désabonner sous Paramètres → Notifications). Si le renouvellement échoue, nous envoyons un e-mail et déclenchons un webhook pour que vos alertes le détectent.

Cela vous a-t-il été utile ?
Besoin de plus ? Écrivez à l'équipe - réponse sous un jour ouvré.Contacter le support