Depanează erorile TLS pe un domeniu personalizat

De ce a eșuat emiterea certificatului TLS și cele trei remedii care rezolvă 95% din cazuri.

2 min de cititActualizat 2026-05-15

Ce vei depana

  • Verifică înregistrările CAA pentru a te asigura că Let's Encrypt este o autoritate de certificare permisă — cea mai frecventă cauză a eșecului de emitere.
  • Dezactivează proxy-ul Cloudflare cu nor portocaliu, care împiedică Caddy să finalizeze handshake-ul TLS.
  • Identifică și așteaptă expirarea unei ferestre de limitare de rată Let's Encrypt (50 de certificate per domeniu înregistrat pe săptămână).

Dacă domeniul tău personalizat este verificat, dar vizitatorii văd un avertisment TLS („certificate not trusted", „ERR_CERT_AUTHORITY_INVALID"), înseamnă că Caddy nu a putut obține un certificat Let's Encrypt. Iată cum să remediezi asta.

1. Verifică înregistrările CAA

Aceasta este cauza numărul 1. Rulează:

dig CAA links.acme.com

Dacă vezi 0 issue "digicert.com" sau orice altă autoritate de certificare care nu este letsencrypt.org, Let's Encrypt este blocat, iar emiterea certificatului eșuează silențios.

Remediu: adaugă 0 issue "letsencrypt.org" la înregistrările CAA ale domeniului tău. Poți păstra autoritatea de certificare existentă pentru orice altă utilizare de certificate — CAA este aditiv.

Așteaptă 1 oră pentru ca propagarea CAA să se finalizeze, apoi apasă Retry verification din dashboard.

2. Verifică proxy-ul Cloudflare

Dacă furnizorul tău DNS este Cloudflare, iar „proxy status" al înregistrării arată norul portocaliu, Cloudflare termină TLS la marginea (edge) sa, cu propriul certificat. Asta întrerupe handshake-ul TLS on-demand al Caddy.

Remediu: apasă pe norul portocaliu pentru a-l face gri (DNS only). CDN-ul Cloudflare este incompatibil cu edge-ul nostru — deja facem cache agresiv la POP-ul edge, deci nu pierzi nimic.

Dacă ai neapărat nevoie de proxy-ul Cloudflare (de exemplu, reguli WAF), planurile Business suportă un mod custom-origin, în care direcționezi Cloudflare către IP-ul nostru de edge, iar noi acceptăm conexiunea proxy-ată. Trimite un e-mail către suport pentru activare.

3. Verifică limitele de rată

Let's Encrypt limitează rata la 50 de certificate per domeniu înregistrat pe săptămână. Dacă ai adăugat multe subdomenii într-un interval scurt de timp, s-ar putea să atingi această limită.

Remediu: așteaptă. Reîncercăm la fiecare 12 ore, iar majoritatea ferestrelor de limitare de rată se resetează în decurs de 7 zile. Certificatele deja emise continuă să funcționeze — doar emiterea de noi certificate este blocată.

Poți confirma starea limitării de rată verificând crt.sh pentru certificatele recente ale domeniului tău.

Tot nu funcționează?

  • Verifică pagina noastră de status. Uneori chiar Let's Encrypt are un incident.
  • Pagina de detalii a domeniului din dashboard afișează textual cel mai recent mesaj de eroare de la Caddy — lipește-l în chat și vom diagnostica împreună.
  • Pentru medii air-gapped, poți găzdui singur Caddy cu propria ta autoritate de certificare internă. Ghidul de self-hosting acoperă modificările de configurare necesare.

Odată ce funcționează

Setează-ți un memento peste 60 de zile, pentru a verifica dacă reînnoirea a reușit. Trimitem un e-mail contactului de facturare al workspace-ului atunci când reînnoirea reușește (poți renunța din Settings → Notifications). Dacă reînnoirea eșuează, trimitem un e-mail și declanșăm un webhook, astfel încât sistemul tău de alertare să îl detecteze.

Ți-a fost de ajutor?
Ai nevoie de mai multe informații? Scrie echipei - răspundem în cel mult o zi lucrătoare.Contactează suportul