Elido
Centro de Ajuda
Domínios personalizados

Solucionar erros de TLS em um domínio personalizado

Por que a emissão de certificado TLS falhou e as três soluções que resolvem 95% dos casos.

3 min de leituraAtualizado 2026-05-15

O que você vai resolver

  • Verificar registros CAA para garantir que o Let's Encrypt é uma CA permitida — a causa mais comum de emissão falha.
  • Desativar o proxy nuvem laranja do Cloudflare, que impede o Caddy de concluir o handshake TLS.
  • Identificar e aguardar uma janela de limite de taxa do Let's Encrypt (50 certificados por domínio registrado por semana).

Se seu domínio personalizado está verificado, mas os visitantes veem um aviso de TLS ("certificado não confiável", "ERR_CERT_AUTHORITY_INVALID"), o Caddy não conseguiu obter um certificado Let's Encrypt. Veja como corrigir isso.

1. Verificar registros CAA#

Esta é a causa número 1. Execute:

dig CAA links.acme.com

Se você vir 0 issue "digicert.com" ou qualquer CA que não seja letsencrypt.org, o Let's Encrypt está bloqueado e a emissão do certificado falha silenciosamente.

Correção: adicione 0 issue "letsencrypt.org" aos registros CAA do seu domínio. Você pode manter a CA existente para qualquer outro uso de certificado — CAA é aditivo.

Aguarde 1 hora para que a propagação de DNS do CAA seja concluída e, em seguida, clique em Tentar novamente a verificação no painel.

2. Verificar proxy do Cloudflare#

Se seu provedor de DNS é o Cloudflare e o "status de proxy" do registro mostra a nuvem laranja, o Cloudflare está encerrando o TLS em sua borda com seu próprio certificado. Isso quebra o handshake TLS sob demanda do Caddy.

Correção: clique na nuvem laranja para que ela fique cinza (somente DNS). O CDN do Cloudflare é incompatível com nossa borda — já armazenamos em cache agressivamente no POP de borda, então você não está perdendo nada.

Se você realmente precisa do proxy do Cloudflare (por exemplo, regras WAF), os planos Business suportam um modo de origem personalizada onde você aponta o Cloudflare para o nosso IP de borda e aceitamos a conexão proxy. Envie um e-mail para o suporte para habilitar.

3. Verificar limites de taxa#

Let's Encrypt limita a taxa a 50 certificados por domínio registrado por semana. Se você adicionou muitos subdomínios em um curto período, pode atingir esse limite.

Correção: espere. Tentamos novamente a cada 12 horas, e a maioria das janelas de limite de taxa são liberadas em 7 dias. Os certificados já emitidos continuam funcionando — apenas novas emissões são bloqueadas.

Você pode confirmar o status do limite de taxa verificando o crt.sh para os certificados recentes do seu domínio.

Ainda com problemas?#

  • Verifique nossa página de status. Às vezes, o próprio Let's Encrypt tem um incidente.
  • A página de detalhes do domínio no painel mostra a mensagem de erro mais recente do Caddy literalmente — cole-a no chat e faremos o diagnóstico juntos.
  • Para ambientes air-gapped, você pode auto-hospedar o Caddy com sua própria CA interna. O guia de auto-hospedagem cobre as alterações de configuração.

Quando funcionar#

Defina um lembrete para daqui a 60 dias para verificar se a renovação foi bem-sucedida. Enviamos um e-mail para o contato de faturamento do workspace quando a renovação é bem-sucedida (você pode optar por não receber em Configurações → Notificações). Se a renovação falhar, enviamos um e-mail e disparamos um webhook para que seu sistema de alerta o detecte.

Foi útil?
Precisa de mais? Escreva à equipa - resposta num dia útil.Contactar o suporte