Elido
Centro assistenza
Domini personalizzati

Risoluzione degli errori TLS su un dominio personalizzato

Perché l'emissione del certificato TLS è fallita e le tre soluzioni che risolvono il 95% dei casi.

2 min di letturaAggiornato 2026-05-15

Cosa risolverai

  • Verificare i record CAA per assicurarti che Let's Encrypt sia una CA autorizzata — la causa più comune di emissione fallita.
  • Disattivare il proxy Cloudflare con cloud arancione, che impedisce a Caddy di completare il suo handshake TLS.
  • Identificare e attendere la finestra di rate-limit di Let's Encrypt (50 certificati per dominio registrato per settimana).

Se il tuo dominio personalizzato è verificato ma i visitatori vedono un avviso TLS ("certificate not trusted", "ERR_CERT_AUTHORITY_INVALID"), Caddy non è riuscito a ottenere un certificato Let's Encrypt. Ecco come risolverlo.

1. Controlla i record CAA#

Questa è la causa #1. Esegui:

dig CAA links.acme.com

Se vedi 0 issue "digicert.com" o qualsiasi CA che non è letsencrypt.org, Let's Encrypt è bloccato e l'emissione del certificato fallisce silenziosamente.

Soluzione: aggiungi 0 issue "letsencrypt.org" ai record CAA del tuo dominio. Puoi mantenere la CA esistente per qualsiasi altro utilizzo del certificato — il CAA è additivo.

Aspetta 1 ora che la propagazione del CAA si esaurisca, poi fai clic su Riprova verifica nella dashboard.

2. Controlla il proxy Cloudflare#

Se il tuo provider DNS è Cloudflare e lo "stato proxy" del record mostra il cloud arancione, Cloudflare sta terminando il TLS al suo edge con il proprio certificato. Questo rompe il handshake TLS on-demand di Caddy.

Soluzione: fai clic sul cloud arancione per renderlo grigio (solo DNS). La CDN di Cloudflare è incompatibile con il nostro edge — già utilizziamo una cache aggressiva all'edge POP, quindi non perdi nulla.

Se hai assolutamente bisogno del proxy Cloudflare (ad esempio regole WAF), i piani Business supportano una modalità origin personalizzata in cui punti Cloudflare al nostro IP edge e accettiamo la connessione proxata. Contatta il supporto per abilitarla.

3. Controlla i limiti di frequenza#

Let's Encrypt limita a 50 certificati per dominio registrato per settimana. Se hai aggiunto molti sottodomini in una breve finestra, potresti raggiungere questo limite.

Soluzione: aspetta. Riproviamo ogni 12 ore, e la maggior parte delle finestre di rate-limit si chiude entro 7 giorni. I certificati già emessi continuano a funzionare — solo la nuova emissione è bloccata.

Puoi confermare lo stato del rate-limit controllando crt.sh per i certificati recenti del tuo dominio.

Ancora rotto?#

  • Controlla la nostra pagina di stato. A volte Let's Encrypt stesso ha un incidente.
  • La pagina dei dettagli del dominio nella dashboard mostra il messaggio di errore Caddy più recente testualmente — incollalo in chat e lo diagnostichiamo insieme.
  • Per ambienti air-gapped, puoi ospitare autonomamente Caddy con la tua CA interna. La guida al self-hosting copre le modifiche alla configurazione.

Una volta che funziona#

Imposta un promemoria tra 60 giorni per verificare che il rinnovo sia riuscito. Inviamo un'email al contatto di fatturazione del workspace quando il rinnovo riesce (puoi rinunciare in Impostazioni → Notifiche). Se il rinnovo fallisce, inviamo un'email e attiviamo un webhook in modo che il tuo sistema di alerting lo catturi.

Ti è stato utile?
Hai bisogno di altro? Scrivi al team - risposta entro un giorno lavorativo.Contatta il supporto