O que você vai resolver
- Confirmar que os registros DNS estão publicamente visíveis usando
dig— não apenas no seu registrador. - Identificar os três padrões de erro de digitação mais comuns: pontos finais, FQDNs completos no campo Nome, tipo de registro errado.
- Corrigir problemas de CAA, DNSSEC e proxy Cloudflare que bloqueiam o TLS mesmo após a verificação de DNS.
Quando você adiciona um domínio personalizado, o Elido consulta o DNS a cada 30 segundos para procurar os registros que solicitamos que você criasse. Normalmente, a verificação é concluída em 60 segundos. Quando demora mais, este checklist aborda o que quase sempre está errado.
Confirme que os registros existem fora da sua rede
A primeira verificação é se os registros estão visíveis publicamente, não apenas no seu registrador.
dig links.acme.com CNAME +short
# expected: <something>.elido.me.
Para um domínio apex:
dig acme.link A +short
# expected: 2 A records (Hetzner FRA + OVH FRA)
dig acme.link AAAA +short
# expected: IPv6 from one of those PoPs
Se dig retornar nada, o registrador ainda não propagou — ou, mais frequentemente, o registro foi salvo com um erro de digitação.
Padrões comuns de erros de digitação
Compare o valor do registro com o valor exato que o Elido mostrou em Configurações → Domínios → [domínio] → Registros DNS. Os erros mais comuns:
- Ponto final. Alguns registradores exigem
<target>.elido.me.(com o ponto final); alguns o adicionam automaticamente. Colocar<target>.elido.me.em um registrador que o adiciona automaticamente resulta em<target>.elido.me..— inválido. Tente sem o ponto final. - Nome do host em vez de FQDN no campo Nome. Para
links.acme.com, alguns registradores queremlinksno campo Nome, nãolinks.acme.com. Se você digitou o FQDN completo, na verdade você crioulinks.acme.com.acme.com. - Tipo de registro errado. Um subdomínio precisa de CNAME. Um apex precisa de A (ou ALIAS). Se o seu registrador não suporta o CNAME flattening do apex, mude para registros A — fornecemos ambas as opções no painel de instruções de DNS.
Domínios Apex (raiz da zona)
CNAMEs no apex são proibidos pela especificação DNS. Se você está tentando acme.link (não links.acme.com), você tem três opções:
- Use os dois registros A que fornecemos. Funciona em todo lugar.
- Use ALIAS / ANAME se o seu registrador suportar (Cloudflare, DNSimple, easyDNS). Ele se aplana para os registros A corretos automaticamente.
- Escolha um subdomínio em vez disso.
go.acme.comoulinks.acme.linké mais fácil e amigável para CDN do que o apex.
Proxy Cloudflare (nuvem laranja)
Se o seu domínio estiver atrás do proxy do Cloudflare (nuvem laranja ativada), a verificação de DNS ainda funciona, mas o provisionamento de TLS falha. O Cloudflare encerra o TLS sozinho, então nosso Caddy nunca vê o visitante e não pode emitir um certificado.
Desative a nuvem laranja (off - somente DNS / nuvem cinza). O Cloudflare atuará apenas como DNS autoritativo; nós cuidamos do proxy.
Se você realmente precisa da camada DDoS do Cloudflare na frente, use o certificado Origin CA do Cloudflare e faça o upload para o Elido em Configurações → Domínios → [domínio] → Certificado personalizado.
Registros CAA
Se o seu domínio tiver registros CAA, eles devem permitir o Let's Encrypt:
dig acme.link CAA +short
# if the result has any lines, letsencrypt.org must be one of them
Se você vir 0 issue "letsencrypt.org" na saída, está tudo bem. Se você vir registros CAA apenas para outras CAs, adicione um para o Let's Encrypt:
acme.link. CAA 0 issue "letsencrypt.org"
Incompatibilidade de DNSSEC
Se o seu registrador tiver DNSSEC ativado, mas os registros DS não foram publicados corretamente, os resolvedores públicos retornarão SERVFAIL em vez dos seus registros. Execute:
dig +trace links.acme.com
Se o rastreamento terminar em SERVFAIL, corrija o DNSSEC no seu registrador antes de continuar — geralmente desativando o DNSSEC, aguardando uma hora e reativando com os registros DS corretos.
Cadência de sondagem de verificação
Consultamos o DNS a cada 30 segundos durante a primeira hora após você adicionar o domínio, depois a cada 5 minutos pelas próximas 24 horas, e depois a cada hora a partir daí. Você pode clicar em Verificar agora a qualquer momento para forçar uma verificação imediata.
Se o seu domínio permanecer Pendente por 24 horas e dig de fora da sua rede mostrar os registros corretos, clique em Verificar agora uma vez — às vezes, nosso resultado negativo em cache de uma propagação de DNS anterior persiste.
O que significa "verificado mas sem TLS"
Se o DNS estiver verificado, mas o domínio mostrar "TLS pendente" por mais de 10 minutos, o Caddy está tendo problemas com o Let's Encrypt. Causas:
- Registros CAA (veja acima).
- Limite de taxa do Let's Encrypt (50 certificados/semana/domínio registrado). Isso só acontece em lançamentos de alto volume.
- Desafio TLS-ALPN bloqueado por um firewall upstream. Abra a porta 443 para nossos IPs de ingresso (listados em nossa página de confiança).
Solução de problemas
A verificação funciona no meu laptop, mas não no painel. Seu laptop está usando seu resolvedor DNS local; nosso verificador usa resolvedores públicos (1.1.1.1, 8.8.8.8). Se o seu registrador não propagou globalmente, os resolvedores públicos podem não ver o registro ainda. Use dig @1.1.1.1 links.acme.com para confirmar o que vemos.
Os registros parecem corretos, mas a verificação continua falhando. Diminua o TTL dos registros para 300 segundos e aguarde 10 minutos. TTLs altos tornam o cache negativo problemático.
O CNAME flattening do Apex foi ativado, mas a verificação falhou. O Cloudflare aplana no momento da consulta, mas apenas para consultas através dos resolvedores do Cloudflare. Os resolvedores públicos veem o CNAME e rejeitam. Mude para registros A explicitamente.