Elido
Centrum pomocy
Własne domeny

Rozwiązywanie problemów z błędami TLS na domenie niestandardowej

Dlaczego wystawienie certyfikatu TLS się nie powiodło i trzy rozwiązania, które rozwiązują 95% przypadków.

2 min czytaniaZaktualizowano 2026-05-15

Co rozwiążesz

  • Sprawdź rekordy CAA, aby upewnić się, że Let's Encrypt jest dozwolonym CA — to najczęstsza przyczyna nieudanego wystawienia certyfikatu.
  • Wyłącz proxy Cloudflare z pomarańczową chmurą, który uniemożliwia Caddy ukończenie handshake TLS.
  • Zidentyfikuj i przeczekaj okno limitu szybkości Let's Encrypt (50 certyfikatów na zarejestrowaną domenę tygodniowo).

Jeśli Twoja domena niestandardowa jest zweryfikowana, ale odwiedzający widzą ostrzeżenie TLS ("certificate not trusted", "ERR_CERT_AUTHORITY_INVALID"), Caddy nie mógł uzyskać certyfikatu Let's Encrypt. Oto jak to naprawić.

1. Sprawdź rekordy CAA#

To przyczyna #1. Uruchom:

dig CAA links.acme.com

Jeśli widzisz 0 issue "digicert.com" lub jakikolwiek CA, który nie jest letsencrypt.org, Let's Encrypt jest zablokowany i wystawianie certyfikatu po cichu się nie udaje.

Rozwiązanie: dodaj 0 issue "letsencrypt.org" do rekordów CAA swojej domeny. Możesz zachować istniejący CA dla innych zastosowań certyfikatów — CAA jest addytywny.

Poczekaj 1 godzinę na wyczyszczenie propagacji CAA, a następnie kliknij Ponów weryfikację w dashboardzie.

2. Sprawdź proxy Cloudflare#

Jeśli Twoim dostawcą DNS jest Cloudflare, a "status proxy" rekordu pokazuje pomarańczową chmurę, Cloudflare kończy TLS na swoim edge własnym certyfikatem. To psuje handshake TLS Caddy on-demand.

Rozwiązanie: kliknij pomarańczową chmurę, aby stała się szara (tylko DNS). CDN Cloudflare jest niekompatybilne z naszym edge — my już agresywnie buforujemy w edge POP, więc nic nie tracisz.

Jeśli absolutnie potrzebujesz proxy Cloudflare (np. reguł WAF), plany Business obsługują tryb niestandardowego origin, gdzie kierujesz Cloudflare na nasz IP edge, a my akceptujemy proxowane połączenie. Skontaktuj się z pomocą techniczną, aby włączyć.

3. Sprawdź limity szybkości#

Let's Encrypt ogranicza do 50 certyfikatów na zarejestrowaną domenę tygodniowo. Jeśli dodałeś wiele subdomen w krótkim oknie, możesz trafić na ten limit.

Rozwiązanie: poczekaj. Ponawiamy próby co 12 godzin, a większość okien limitu szybkości czyści się w ciągu 7 dni. Już wystawione certyfikaty nadal działają — zablokowane jest tylko nowe wystawianie.

Możesz potwierdzić status limitu szybkości, sprawdzając crt.sh pod kątem ostatnich certyfikatów Twojej domeny.

Nadal nie działa?#

  • Sprawdź naszą stronę statusu. Czasami sam Let's Encrypt ma incydent.
  • Strona szczegółów domeny w dashboardzie pokazuje dosłownie najnowszy komunikat o błędzie Caddy — wklej go na czacie, a wspólnie to zdiagnozujemy.
  • W przypadku środowisk air-gapped możesz hostować Caddy samodzielnie z własnym wewnętrznym CA. Przewodnik self-hosting obejmuje zmiany konfiguracji.

Gdy już działa#

Ustaw sobie przypomnienie za 60 dni, aby sprawdzić, czy odnowienie zakończyło się pomyślnie. Wysyłamy e-mail do kontaktu rozliczeniowego workspace gdy odnowienie się powiedzie (możesz z tego zrezygnować w Ustawienia → Powiadomienia). Jeśli odnowienie się nie powiedzie, wysyłamy e-mail i wyzwalamy webhook, aby Twój system alertów to przechwycił.

Czy to było pomocne?
Potrzebujesz więcej? Napisz do zespołu - odpowiedź w ciągu jednego dnia roboczego.Skontaktuj się z pomocą