Ce vei depana
- Confirmă că înregistrările DNS sunt vizibile public, folosind
dig— nu doar la registratorul tău. - Identifică cele trei tipare de greșeli de tastare cel mai des întâlnite: puncte finale, FQDN-uri complete în câmpul Name, tipul greșit de înregistrare.
- Rezolvă problemele de CAA, DNSSEC și proxy Cloudflare care blochează TLS chiar și după ce DNS-ul este verificat.
Când adaugi un domeniu personalizat, Elido interoghează DNS-ul la fiecare 30 de secunde, căutând înregistrările pe care ți-am cerut să le creezi. De obicei, verificarea se finalizează în decurs de 60 de secunde. Când durează mai mult, această listă de verificare acoperă ceea ce este aproape mereu problema.
Confirmă că înregistrările există din afara rețelei tale
Prima verificare este dacă înregistrările sunt vizibile public, nu doar la registratorul tău.
dig links.acme.com CNAME +short
# expected: <something>.elido.me.
Pentru un domeniu apex:
dig acme.link A +short
# expected: 2 A records (Hetzner FRA + OVH FRA)
dig acme.link AAAA +short
# expected: IPv6 from one of those PoPs
Dacă dig nu returnează nimic, fie registratorul nu a propagat încă, fie — mai frecvent — înregistrarea a fost salvată cu o greșeală de tastare.
Tipare frecvente de greșeli de tastare
Compară valoarea înregistrării cu valoarea exactă pe care Elido ți-a afișat-o în Settings → Domains → [domain] → DNS records. Cele mai frecvente greșeli:
- Punctul final. Unii registratori solicită
<target>.elido.me.(cu punctul final); alții îl adaugă automat. Dacă lipești<target>.elido.me.la un registrator care îl adaugă automat, rezultă<target>.elido.me..— invalid. Încearcă fără punctul final. - Hostname în loc de FQDN în câmpul Name. Pentru
links.acme.com, unii registratori vorlinksîn câmpul Name, nulinks.acme.com. Dacă ai introdus FQDN-ul complet, ai creat de faptlinks.acme.com.acme.com. - Tipul greșit de înregistrare. Un subdomeniu are nevoie de CNAME. Un apex are nevoie de A (sau ALIAS). Dacă registratorul tău nu suportă aplatizarea (flattening) CNAME la nivel de apex, treci la înregistrări A — oferim ambele opțiuni în panoul de instrucțiuni DNS.
Domenii apex (rădăcină de zonă)
Înregistrările CNAME la nivel de apex sunt interzise de specificația DNS. Dacă încerci acme.link (nu links.acme.com), ai trei opțiuni:
- Folosește cele două înregistrări A pe care ți le oferim. Funcționează peste tot.
- Folosește ALIAS / ANAME, dacă registratorul tău îl suportă (Cloudflare, DNSimple, easyDNS). Se aplatizează automat la înregistrările A corecte.
- Alege un subdomeniu în schimb.
go.acme.comsaulinks.acme.linkeste mai simplu și mai prietenos cu CDN-urile decât apex-ul.
Proxy Cloudflare (nor portocaliu)
Dacă domeniul tău este în spatele proxy-ului Cloudflare (nor portocaliu activat), verificarea DNS funcționează în continuare, dar provizionarea TLS eșuează. Cloudflare termină el însuși conexiunea TLS, astfel încât Caddy-ul nostru nu vede niciodată vizitatorul și nu poate emite un certificat.
Dezactivează norul portocaliu (DNS only / nor gri). Cloudflare va funcționa doar ca DNS autoritar; noi ne ocupăm de proxy.
Dacă ai cu adevărat nevoie de stratul de protecție DDoS al Cloudflare în față, folosește certificatul Origin CA al Cloudflare și încarcă-l în Elido din Settings → Domains → [domain] → Custom certificate.
Înregistrări CAA
Dacă domeniul tău are înregistrări CAA, acestea trebuie să permită Let's Encrypt:
dig acme.link CAA +short
# if the result has any lines, letsencrypt.org must be one of them
Dacă vezi 0 issue "letsencrypt.org" în rezultat, ești în regulă. Dacă vezi înregistrări CAA doar pentru alte autorități de certificare, adaugă una pentru Let's Encrypt:
acme.link. CAA 0 issue "letsencrypt.org"
Nepotrivire DNSSEC
Dacă registratorul tău are DNSSEC activat, dar înregistrările DS nu au fost publicate corect, resolverele publice vor returna SERVFAIL în loc de înregistrările tale. Rulează:
dig +trace links.acme.com
Dacă traseul se termină cu SERVFAIL, remediază DNSSEC la registratorul tău înainte de a continua — de obicei prin dezactivarea DNSSEC, așteptarea unei ore, apoi reactivarea cu înregistrările DS corecte.
Cadența de interogare a verificării
Interogăm DNS-ul la fiecare 30 de secunde în prima oră după ce ai adăugat domeniul, apoi la fiecare 5 minute în următoarele 24 de ore, apoi la fiecare oră după aceea. Poți apăsa Verify now oricând, pentru a forța o verificare imediată.
Dacă domeniul tău rămâne Pending timp de 24 de ore, iar dig din afara rețelei tale arată înregistrările corecte, apasă Verify now o dată — uneori rezultatul negativ pe care l-am pus în cache dintr-o propagare anterioară persistă.
Cum arată situația „verificat, dar fără TLS"
Dacă DNS-ul este verificat, dar domeniul arată „TLS pending" mai mult de 10 minute, Caddy întâmpină probleme cu Let's Encrypt. Cauze:
- Înregistrări CAA (vezi mai sus).
- Limitare de rată (rate-limiting) din partea Let's Encrypt (50 de certificate/săptămână/domeniu înregistrat). Se întâlnește doar la lansări cu volum foarte mare.
- Provocarea (challenge) TLS-ALPN blocată de un firewall din amonte. Deschide portul 443 către IP-urile noastre de ingress (listate pe pagina noastră de trust).
Depanare
Verificarea funcționează de pe laptopul meu, dar nu din dashboard. Laptopul tău folosește resolverul DNS local; verificatorul nostru folosește resolvere publice (1.1.1.1, 8.8.8.8). Dacă registratorul tău nu a propagat încă la nivel global, resolverele publice s-ar putea să nu vadă încă înregistrarea. Folosește dig @1.1.1.1 links.acme.com pentru a confirma ce vedem noi.
Înregistrările par corecte, dar Verify continuă să eșueze. Scade TTL-ul înregistrărilor la 300 de secunde și așteaptă 10 minute. TTL-urile mari fac cache-ul negativ dureros.
Aplatizarea CNAME la nivel de apex a fost activată, dar verificarea a eșuat. Cloudflare aplatizează la momentul interogării, dar doar pentru interogările care trec prin resolverele Cloudflare. Resolverele publice văd CNAME-ul și îl resping. Treci explicit la înregistrări A.