Wat je gaat oplossen
- Bevestig met
digdat de DNS-records publiek zichtbaar zijn — niet alleen bij je registrar. - Herken de drie meest voorkomende typefoutpatronen: trailing dots, volledige FQDN's in het Name-veld, verkeerd recordtype.
- Los CAA-, DNSSEC- en Cloudflare-proxyproblemen op die TLS blokkeren, zelfs nadat DNS is geverifieerd.
Wanneer je een custom domain toevoegt, pollt Elido elke 30 seconden DNS op zoek naar de records die we je vroegen aan te maken. Meestal is de verificatie binnen 60 seconden voltooid. Duurt het langer, dan behandelt deze checklist wat er bijna altijd mis is.
Bevestig dat de records van buiten je netwerk zichtbaar zijn
De eerste controle is of de records publiek zichtbaar zijn, niet alleen bij je registrar.
dig links.acme.com CNAME +short
# expected: <something>.elido.me.
Voor een apex-domein:
dig acme.link A +short
# expected: 2 A records (Hetzner FRA + OVH FRA)
dig acme.link AAAA +short
# expected: IPv6 from one of those PoPs
Geeft dig niets terug, dan heeft de registrar nog niet gepropageerd — of, vaker nog, het record is opgeslagen met een typefout.
Veelvoorkomende typefoutpatronen
Vergelijk de recordwaarde met de exacte waarde die Elido je toonde onder Instellingen → Domeinen → [domein] → DNS-records. De meest voorkomende fouten:
- Trailing dot. Sommige registrars vereisen
<target>.elido.me.(met de punt aan het einde); sommige voegen die automatisch toe. Plak je<target>.elido.me.bij een registrar die er automatisch een toevoegt, dan krijg je<target>.elido.me..— ongeldig. Probeer het zonder de punt aan het einde. - Hostnaam in plaats van FQDN in het Name-veld. Voor
links.acme.comwillen sommige registrars alleenlinksin het Name-veld, nietlinks.acme.com. Typte je de volledige FQDN, dan heb je in feitelinks.acme.com.acme.comaangemaakt. - Verkeerd recordtype. Een subdomein heeft een CNAME nodig. Een apex heeft een A (of ALIAS) nodig. Ondersteunt je registrar geen apex-CNAME-flattening, schakel dan over op A-records — we bieden beide opties in het DNS-instructiepaneel.
Apex-domeinen (zone-root)
CNAME's op de apex zijn verboden volgens de DNS-specificatie. Probeer je acme.link (niet links.acme.com), dan heb je drie opties:
- Gebruik de twee A-records die we leveren. Werkt overal.
- Gebruik ALIAS / ANAME als je registrar dit ondersteunt (Cloudflare, DNSimple, easyDNS). Dit vlakt automatisch af naar de juiste A-records.
- Kies in plaats daarvan een subdomein.
go.acme.comoflinks.acme.linkis eenvoudiger en CDN-vriendelijker dan de apex.
Cloudflare-proxy (oranje wolk)
Staat je domein achter de proxy van Cloudflare (oranje wolk aan), dan werkt DNS-verificatie nog steeds, maar mislukt TLS-provisioning. Cloudflare beëindigt TLS zelf, waardoor onze Caddy de bezoeker nooit ziet en geen certificaat kan uitgeven.
Zet de oranje wolk uit (alleen DNS / grijze wolk). Cloudflare fungeert dan alleen als autoritatieve DNS; wij handelen de proxy af.
Heb je écht de DDoS-laag van Cloudflare nodig ervoor, gebruik dan het Origin CA-certificaat van Cloudflare en upload het naar Elido onder Instellingen → Domeinen → [domein] → Custom certificaat.
CAA-records
Heeft je domein CAA-records, dan moeten deze Let's Encrypt toestaan:
dig acme.link CAA +short
# if the result has any lines, letsencrypt.org must be one of them
Zie je 0 issue "letsencrypt.org" in de uitvoer, dan zit het goed. Zie je alleen CAA-records voor andere CA's, voeg er dan één toe voor Let's Encrypt:
acme.link. CAA 0 issue "letsencrypt.org"
DNSSEC-mismatch
Heeft je registrar DNSSEC ingeschakeld maar zijn de DS-records niet correct gepubliceerd, dan geven publieke resolvers SERVFAIL terug in plaats van je records. Voer uit:
dig +trace links.acme.com
Eindigt de trace op SERVFAIL, los dan eerst DNSSEC op bij je registrar — meestal door DNSSEC uit te schakelen, een uur te wachten en het opnieuw in te schakelen met de juiste DS-records.
Pollfrequentie van verificatie
We pollen DNS elke 30 seconden gedurende het eerste uur nadat je het domein hebt toegevoegd, daarna elke 5 minuten gedurende de volgende 24 uur, en daarna elk uur. Je kunt op elk moment op Nu verifiëren klikken om een directe controle te forceren.
Blijft je domein 24 uur op In behandeling staan en toont dig van buiten je netwerk de juiste records, klik dan eenmaal op Nu verifiëren — soms blijft een gecached negatief resultaat van eerdere propagatie hangen.
Hoe "geverifieerd maar geen TLS" eruitziet
Is DNS geverifieerd maar toont het domein langer dan 10 minuten "TLS in behandeling", dan heeft Caddy moeite met Let's Encrypt. Oorzaken:
- CAA-records (zie hierboven).
- Rate-limiting door Let's Encrypt (50 certificaten/week/geregistreerd domein). Kom je alleen tegen bij zeer grote uitrollen.
- TLS-ALPN-challenge geblokkeerd door een upstream firewall. Open poort 443 naar onze ingress-IP's (vermeld op onze trustpagina).
Problemen oplossen
Verificatie werkt vanaf mijn laptop maar niet vanuit het dashboard. Je laptop gebruikt je lokale DNS-resolver; onze verifier gebruikt publieke resolvers (1.1.1.1, 8.8.8.8). Heeft je registrar nog niet wereldwijd gepropageerd, dan zien publieke resolvers het record mogelijk nog niet. Gebruik dig @1.1.1.1 links.acme.com om te bevestigen wat wij zien.
Records lijken kloppend maar Verifiëren blijft mislukken. Verlaag de TTL van de records naar 300 seconden en wacht 10 minuten. Hoge TTL's maken negatieve caching pijnlijk.
Apex-CNAME-flattening was ingeschakeld maar verificatie mislukte. Cloudflare vlakt af op het moment van de query, maar alleen voor queries via de resolvers van Cloudflare. Publieke resolvers zien de CNAME en wijzen die af. Schakel expliciet over op A-records.