Elido
Help center

Custom Domains

Risoluzione dei problemi di verifica DNS

Cosa fare quando un dominio personalizzato rimane bloccato su In attesa — una checklist per le configurazioni DNS errate più comuni.

Updated 2026-05-15

Quando aggiungi un dominio personalizzato, Elido esegue il polling DNS ogni 30 secondi per cercare i record che ti abbiamo chiesto di creare. Di solito la verifica si completa entro 60 secondi. Quando richiede più tempo, questa checklist copre quasi sempre la causa del problema.

Verifica che i record esistano dall'esterno della tua rete#

Il primo controllo è se i record sono visibili pubblicamente, non solo nel tuo registrar.

dig links.acme.com CNAME +short
# expected: <something>.elido.me.

Per un dominio apex:

dig acme.link A +short
# expected: 2 A records (Hetzner FRA + OVH FRA)

dig acme.link AAAA +short
# expected: IPv6 from one of those PoPs

Se dig non restituisce nulla, il registrar non ha ancora propagato — o, più spesso, il record è stato salvato con un refuso.

Schemi di refuso comuni#

Confronta il valore del record con il valore esatto che Elido ti ha mostrato in Impostazioni → Domini → [dominio] → Record DNS. Gli errori più comuni:

  • Punto finale. Alcuni registrar richiedono <target>.elido.me. (con il punto finale); altri lo aggiungono automaticamente. Incollare <target>.elido.me. in un registrar che lo aggiunge automaticamente produce <target>.elido.me.. — non valido. Prova senza il punto finale.
  • Hostname invece di FQDN nel campo Name. Per links.acme.com, alcuni registrar vogliono links nel campo Name, non links.acme.com. Se hai digitato il FQDN completo, hai creato links.acme.com.acme.com.
  • Tipo di record errato. Un sottodominio ha bisogno di CNAME. Un apex ha bisogno di A (o ALIAS). Se il tuo registrar non supporta l'appiattimento CNAME apex, passa ai record A — forniamo entrambe le opzioni nel pannello delle istruzioni DNS.

Domini apex (zone-root)#

I CNAME all'apex sono vietati dalla specifica DNS. Se stai cercando acme.link (non links.acme.com), hai tre opzioni:

  1. Usa i due record A che forniamo. Funziona ovunque.
  2. Usa ALIAS / ANAME se il tuo registrar lo supporta (Cloudflare, DNSimple, easyDNS). Si appiattisce automaticamente ai record A giusti.
  3. Scegli un sottodominio invece. go.acme.com o links.acme.link è più semplice e più adatto alle CDN rispetto all'apex.

Proxy Cloudflare (cloud arancione)#

Se il tuo dominio è dietro il proxy di Cloudflare (cloud arancione attivo), la verifica DNS funziona comunque ma il provisioning TLS fallisce. Cloudflare termina TLS per conto suo, quindi il nostro Caddy non vede mai il visitatore e non riesce a emettere un certificato.

Disattiva il cloud arancione (solo DNS / cloud grigio). Cloudflare funzionerà come DNS autorevole; noi gestiamo il proxy.

Se hai genuinamente bisogno del layer DDoS di Cloudflare davanti, usa il certificato Origin CA di Cloudflare e caricalo su Elido sotto Impostazioni → Domini → [dominio] → Certificato personalizzato.

Record CAA#

Se il tuo dominio ha record CAA, devono consentire Let's Encrypt:

dig acme.link CAA +short
# if the result has any lines, letsencrypt.org must be one of them

Se vedi 0 issue "letsencrypt.org" nell'output, sei a posto. Se vedi record CAA per altre CA solo, aggiungi uno per Let's Encrypt:

acme.link.    CAA  0 issue "letsencrypt.org"

Mismatch DNSSEC#

Se il tuo registrar ha DNSSEC abilitato ma i record DS non sono stati pubblicati correttamente, i resolver pubblici restituiranno SERVFAIL invece dei tuoi record. Esegui:

dig +trace links.acme.com

Se il tracciamento termina con SERVFAIL, correggi DNSSEC nel tuo registrar prima di continuare — di solito disabilitando DNSSEC, aspettando un'ora e riabilitandolo con i record DS corretti.

Cadenza del polling di verifica#

Eseguiamo il polling DNS ogni 30 secondi per la prima ora dopo che hai aggiunto il dominio, poi ogni 5 minuti per le 24 ore successive, poi ogni ora dopo. Puoi fare clic su Verifica ora in qualsiasi momento per forzare un controllo immediato.

Se il tuo dominio rimane In attesa per 24 ore e dig dall'esterno della tua rete mostra i record giusti, fai clic su Verifica ora una volta — a volte il nostro risultato negativo memorizzato in cache dalla propagazione precedente persiste.

Come appare "verificato ma nessun TLS"#

Se il DNS è verificato ma il dominio mostra "TLS in attesa" per più di 10 minuti, Caddy ha problemi con Let's Encrypt. Cause:

  • Record CAA (vedi sopra).
  • Rate-limiting da parte di Let's Encrypt (50 cert/settimana/dominio-registrato). Lo si colpisce solo in rollout ad alto volume.
  • Challenge TLS-ALPN bloccato da un firewall a monte. Apri la porta 443 ai nostri IP di ingresso (elencati nella nostra pagina trust).

Risoluzione dei problemi#

La verifica funziona dal mio laptop ma non dalla dashboard. Il tuo laptop usa il resolver DNS locale; il nostro verificatore usa resolver pubblici (1.1.1.1, 8.8.8.8). Se il tuo registrar non ha propagato globalmente, i resolver pubblici potrebbero non vedere ancora il record. Usa dig @1.1.1.1 links.acme.com per confermare cosa vediamo noi.

I record sembrano corretti ma la verifica continua a fallire. Abbassa il TTL dei record a 300 secondi e aspetta 10 minuti. I TTL alti rendono la cache negativa problematica.

L'appiattimento CNAME apex era abilitato ma la verifica è fallita. Cloudflare appiattisce al momento della query, ma solo per le query attraverso i resolver di Cloudflare. I resolver pubblici vedono il CNAME e rifiutano. Passa esplicitamente ai record A.

Was this helpful?
Need more? Email the team — replies within one working day.Contact support
Risoluzione dei problemi di verifica DNS · Elido