Elido
Help center

Custom Domains

Rozwiązywanie problemów z weryfikacją DNS

Co zrobić gdy domena niestandardowa utknęła w statusie Oczekujący — lista kontrolna dla najczęstszych błędów konfiguracji DNS.

Updated 2026-05-15

Gdy dodajesz domenę niestandardową, Elido odpytuje DNS co 30 sekund w poszukiwaniu rekordów, o których Cię prosiliśmy. Zazwyczaj weryfikacja kończy się w ciągu 60 sekund. Gdy trwa dłużej, ta lista kontrolna obejmuje to, co jest prawie zawsze przyczyną problemu.

Potwierdź istnienie rekordów spoza swojej sieci#

Pierwszą kontrolą jest to, czy rekordy są widoczne publicznie, nie tylko w Twoim rejestratorze.

dig links.acme.com CNAME +short
# expected: <something>.elido.me.

Dla domeny apex:

dig acme.link A +short
# expected: 2 A records (Hetzner FRA + OVH FRA)

dig acme.link AAAA +short
# expected: IPv6 from one of those PoPs

Jeśli dig nic nie zwraca, rejestrator jeszcze nie propagował — lub, co częstsze, rekord został zapisany z literówką.

Typowe wzorce literówek#

Porównaj wartość rekordu z dokładną wartością pokazaną przez Elido w Ustawienia → Domeny → [domena] → Rekordy DNS. Najczęstsze błędy:

  • Końcowa kropka. Niektóre rejestratory wymagają <target>.elido.me. (z końcową kropką); inne dodają ją automatycznie. Wklejenie <target>.elido.me. w rejestratorze, który dodaje ją automatycznie, daje <target>.elido.me.. — nieprawidłowe. Spróbuj bez końcowej kropki.
  • Hostname zamiast FQDN w polu Name. Dla links.acme.com niektóre rejestratory chcą links w polu Name, nie links.acme.com. Jeśli wpisałeś pełny FQDN, faktycznie utworzyłeś links.acme.com.acme.com.
  • Zły typ rekordu. Subdomena wymaga CNAME. Apex wymaga A (lub ALIAS). Jeśli Twój rejestrator nie obsługuje spłaszczania CNAME apex, przejdź na rekordy A — obie opcje są dostępne w panelu instrukcji DNS.

Domeny apex (root strefy)#

Rekordy CNAME w apex są zabronione przez specyfikację DNS. Jeśli próbujesz acme.link (nie links.acme.com), masz trzy opcje:

  1. Użyj dwóch rekordów A, które dostarczamy. Działa wszędzie.
  2. Użyj ALIAS / ANAME jeśli Twój rejestrator to obsługuje (Cloudflare, DNSimple, easyDNS). Automatycznie spłaszcza do właściwych rekordów A.
  3. Wybierz subdomenę. go.acme.com lub links.acme.link jest łatwiejsze i bardziej CDN-friendly niż apex.

Proxy Cloudflare (pomarańczowa chmura)#

Jeśli Twoja domena jest za proxy Cloudflare (pomarańczowa chmura włączona), weryfikacja DNS nadal działa, ale provisioning TLS się nie powiedzie. Cloudflare sam kończy TLS, więc nasz Caddy nigdy nie widzi odwiedzającego i nie może wystawić certyfikatu.

Wyłącz pomarańczową chmurę (tylko DNS / szara chmura). Cloudflare będzie służyć jako autorytatywny DNS; my obsługujemy proxy.

Jeśli naprawdę potrzebujesz warstwy DDoS Cloudflare z przodu, użyj certyfikatu Origin CA Cloudflare i prześlij go do Elido w Ustawienia → Domeny → [domena] → Certyfikat niestandardowy.

Rekordy CAA#

Jeśli Twoja domena ma rekordy CAA, muszą zezwalać Let's Encrypt:

dig acme.link CAA +short
# if the result has any lines, letsencrypt.org must be one of them

Jeśli widzisz 0 issue "letsencrypt.org" w wyjściu, wszystko jest dobrze. Jeśli widzisz rekordy CAA tylko dla innych CA, dodaj jeden dla Let's Encrypt:

acme.link.    CAA  0 issue "letsencrypt.org"

Niezgodność DNSSEC#

Jeśli Twój rejestrator ma włączony DNSSEC, ale rekordy DS nie zostały poprawnie opublikowane, publiczne resolvery zwrócą SERVFAIL zamiast Twoich rekordów. Uruchom:

dig +trace links.acme.com

Jeśli śledzenie kończy się SERVFAIL, napraw DNSSEC u swojego rejestratora przed kontynuowaniem — zwykle przez wyłączenie DNSSEC, odczekanie godziny i ponowne włączenie z poprawnymi rekordami DS.

Kadencja odpytywania weryfikacji#

Odpytujemy DNS co 30 sekund przez pierwszą godzinę po dodaniu domeny, następnie co 5 minut przez kolejne 24 godziny, a potem co godzinę. Możesz kliknąć Weryfikuj teraz w dowolnym momencie, aby wymusić natychmiastowe sprawdzenie.

Jeśli Twoja domena pozostaje Oczekująca przez 24 godziny, a dig spoza Twojej sieci pokazuje prawidłowe rekordy, kliknij Weryfikuj teraz raz — czasami nasz buforowany negatywny wynik z wcześniejszej propagacji się utrzymuje.

Jak wygląda "zweryfikowane, ale brak TLS"#

Jeśli DNS jest zweryfikowany, ale domena pokazuje "TLS oczekujący" przez ponad 10 minut, Caddy ma problem z Let's Encrypt. Przyczyny:

  • Rekordy CAA (patrz wyżej).
  • Ograniczenie szybkości ze strony Let's Encrypt (50 certyfikatów/tydzień/zarejestrowana-domena). Dotyczy tylko bardzo dużych wdrożeń.
  • Challenge TLS-ALPN zablokowany przez firewall upstream. Otwórz port 443 na nasze IP ruchu przychodzącego (wymienione na naszej stronie zaufania).

Rozwiązywanie problemów#

Weryfikacja działa z mojego laptopa, ale nie z dashboardu. Twój laptop używa lokalnego resolvera DNS; nasz weryfikator używa publicznych resolverów (1.1.1.1, 8.8.8.8). Jeśli Twój rejestrator nie propagował globalnie, publiczne resolvery mogą jeszcze nie widzieć rekordu. Użyj dig @1.1.1.1 links.acme.com, aby potwierdzić, co my widzimy.

Rekordy wyglądają poprawnie, ale weryfikacja stale się nie udaje. Obniż TTL rekordów do 300 sekund i odczekaj 10 minut. Wysokie TTL sprawiają, że buforowanie negatywne jest uciążliwe.

Spłaszczanie CNAME apex było włączone, ale weryfikacja się nie powiodła. Cloudflare spłaszcza w momencie zapytania, ale tylko dla zapytań przez resolvery Cloudflare. Publiczne resolvery widzą CNAME i odrzucają. Przejdź jawnie na rekordy A.

Was this helpful?
Need more? Email the team — replies within one working day.Contact support
Rozwiązywanie problemów z weryfikacją DNS · Elido