Wat je gaat oplossen
- Controleer CAA-records om te zorgen dat Let's Encrypt een toegestane CA is — de meest voorkomende oorzaak van mislukte uitgifte.
- Schakel de Cloudflare-oranje-wolk-proxy uit, die voorkomt dat Caddy zijn TLS-handshake voltooit.
- Herken en wacht een Let's Encrypt-rate-limitvenster uit (50 certificaten per geregistreerd domein per week).
Is je custom domain geverifieerd maar zien bezoekers een TLS-waarschuwing ("certificaat niet vertrouwd", "ERR_CERT_AUTHORITY_INVALID"), dan kon Caddy geen Let's Encrypt-certificaat verkrijgen. Zo los je het op.
1. Controleer CAA-records
Dit is oorzaak nummer 1. Voer uit:
dig CAA links.acme.com
Zie je 0 issue "digicert.com" of een andere CA die niet letsencrypt.org is, dan wordt Let's Encrypt geblokkeerd en mislukt de certificaatuitgifte stilzwijgend.
Oplossing: voeg 0 issue "letsencrypt.org" toe aan de CAA-records van je domein. Je kunt de bestaande CA behouden voor ander certificaatgebruik — CAA is additief.
Wacht 1 uur tot de CAA-propagatie is voltooid en klik dan op Verificatie opnieuw proberen in het dashboard.
2. Controleer op Cloudflare-proxy
Is je DNS-provider Cloudflare en toont de proxystatus van het record de oranje wolk, dan beëindigt Cloudflare TLS op zijn eigen edge met zijn eigen certificaat. Dat breekt de on-demand TLS-handshake van Caddy.
Oplossing: klik de oranje wolk naar grijs (alleen DNS). De CDN van Cloudflare is niet compatibel met onze edge — we cachen al agressief op de edge-POP, dus je verliest niets.
Heb je de Cloudflare-proxy absoluut nodig (bijv. WAF-regels), dan ondersteunen Business-plannen een custom-origin-modus waarbij je Cloudflare naar ons edge-IP wijst en wij de geproxyde verbinding accepteren. Mail support om dit in te schakelen.
3. Controleer rate limits
Let's Encrypt hanteert een rate limit van 50 certificaten per geregistreerd domein per week. Heb je in korte tijd veel subdomeinen toegevoegd, dan kun je hier tegenaan lopen.
Oplossing: wacht. We proberen het elke 12 uur opnieuw, en de meeste rate-limitvensters lossen zich binnen 7 dagen op. Reeds uitgegeven certificaten blijven werken — alleen nieuwe uitgifte wordt geblokkeerd.
Je kunt de rate-limitstatus bevestigen door crt.sh te controleren op recente certificaten van je domein.
Nog steeds kapot?
- Bekijk onze statuspagina. Soms heeft Let's Encrypt zelf een incident.
- De detailpagina van het domein in het dashboard toont de meest recente Caddy-foutmelding letterlijk — plak die in de chat en we diagnosticeren samen.
- Voor air-gapped omgevingen kun je Caddy zelf hosten met je eigen interne CA. De self-hosting-gids behandelt de benodigde configuratiewijzigingen.
Zodra het werkt
Zet zelf een herinnering op 60 dagen om te controleren of de vernieuwing is geslaagd. We mailen de factuurcontactpersoon van de workspace wanneer vernieuwing slaagt (je kunt je hiervoor afmelden onder Instellingen → Meldingen). Mislukt de vernieuwing, dan mailen we én sturen we een webhook, zodat je alerting het opvangt.