Elido
Help center

Custom Domains

Устранение неполадок при проверке DNS

Что делать, если собственный домен застрял в статусе Pending — чеклист по наиболее распространенным ошибкам конфигурации DNS.

Updated 2026-05-15

Когда вы добавляете собственный домен, Elido опрашивает DNS каждые 30 секунд в поисках записей, которые мы просили вас создать. Обычно проверка завершается в течение 60 секунд. Если это занимает больше времени, воспользуйтесь этим чеклистом — здесь собрано то, что почти всегда идет не так.

Убедитесь, что записи видны за пределами вашей сети#

Первым делом стоит проверить, видны ли записи публично, а не только в панели вашего регистратора.

dig links.acme.com CNAME +short
# expected: <something>.elido.me.

Для апекс-домена:

dig acme.link A +short
# expected: 2 A records (Hetzner FRA + OVH FRA)

dig acme.link AAAA +short
# expected: IPv6 from one of those PoPs

Если dig ничего не возвращает, значит данные еще не разошлись (propagation) у регистратора — или, что бывает чаще, запись была сохранена с опечаткой.

Распространенные ошибки в написании#

Сравните значение записи с точным значением, которое Elido показал вам в разделе Settings → Domains → [domain] → DNS records. Самые частые ошибки:

  • Точка в конце. Некоторым регистраторам требуется <target>.elido.me. (с точкой в конце), другие добавляют ее автоматически. Если вставить <target>.elido.me. там, где точка добавляется автоматически, получится <target>.elido.me.. — это невалидно. Попробуйте без точки.
  • Имя хоста вместо FQDN в поле Name. Для links.acme.com некоторые регистраторы требуют указывать только links в поле Name, а не links.acme.com. Если вы ввели полный FQDN, вы фактически создали запись links.acme.com.acme.com.
  • Неверный тип записи. Для поддомена нужен CNAME. Для апекса нужен A (или ALIAS). Если ваш регистратор не поддерживает CNAME flattening для апекса, переключитесь на A-записи — мы предоставляем оба варианта в панели инструкций DNS.

Апекс-домены (корневые домены зоны)#

Использование CNAME на уровне апекса запрещено спецификацией DNS. Если вы настраиваете acme.link (а не links.acme.com), у вас есть три варианта:

  1. Используйте две A-записи, которые мы предоставляем. Это работает везде.
  2. Используйте ALIAS / ANAME, если ваш регистратор поддерживает их (Cloudflare, DNSimple, easyDNS). Они автоматически преобразуются в нужные A-записи.
  3. Выберите поддомен. Использовать go.acme.com или links.acme.link проще, и это лучше совместимо с CDN, чем апекс.

Проксирование Cloudflare («оранжевое облако»)#

Если ваш домен находится за прокси Cloudflare («оранжевое облако» включено), проверка DNS все равно пройдет, но настройка TLS не удастся. Cloudflare сам терминирует TLS, поэтому наш Caddy никогда не увидит посетителя и не сможет выпустить сертификат.

Выключите «оранжевое облако» (DNS only / «серое облако»). Cloudflare будет работать только как авторитативный DNS, а проксирование мы возьмем на себя.

Если вам действительно необходим уровень защиты от DDoS от Cloudflare перед нами, используйте Cloudflare Origin CA certificate и загрузите его в Elido в разделе Settings → Domains → [domain] → Custom certificate.

Записи CAA#

Если у вашего домена есть записи CAA, они должны разрешать выпуск сертификатов для Let's Encrypt:

dig acme.link CAA +short
# if the result has any lines, letsencrypt.org must be one of them

Если в выводе вы видите 0 issue "letsencrypt.org", все в порядке. Если вы видите записи CAA только для других удостоверяющих центров (CA), добавьте запись для Let's Encrypt:

acme.link.    CAA  0 issue "letsencrypt.org"

Несоответствие DNSSEC#

Если у вашего регистратора включен DNSSEC, но записи DS не были опубликованы правильно, публичные резолверы будут возвращать SERVFAIL вместо ваших записей. Запустите:

dig +trace links.acme.com

Если трассировка заканчивается на SERVFAIL, исправьте настройки DNSSEC у вашего регистратора — обычно для этого нужно отключить DNSSEC, подождать час и включить его снова с правильными записями DS.

Частота опроса при проверке#

Мы опрашиваем DNS каждые 30 секунд в течение первого часа после добавления домена, затем каждые 5 минут в течение следующих 24 часов, и далее каждый час. Вы можете нажать Verify now в любое время, чтобы инициировать немедленную проверку.

Если ваш домен остается в статусе Pending в течение 24 часов, а dig за пределами вашей сети показывает правильные записи, нажмите Verify now один раз — иногда наш закешированный отрицательный результат из-за долгого обновления DNS может сохраняться.

Как выглядит статус «подтверждено, но нет TLS»#

Если DNS подтвержден, но домен показывает «TLS pending» более 10 минут, значит у Caddy возникли проблемы с Let's Encrypt. Возможные причины:

  • Записи CAA (см. выше).
  • Rate-limiting (ограничение частоты) от Let's Encrypt (50 сертификатов в неделю на один зарегистрированный домен). Это случается только при очень масштабных запусках.
  • Проверка TLS-ALPN заблокирована вышестоящим фаерволом. Откройте порт 443 для наших ingress-IP (список указан на нашей странице доверия).

Устранение неполадок#

Проверка проходит с моего ноутбука, но не в панели управления. Ваш ноутбук использует локальный DNS-резолвер; наш верификатор использует публичные резолверы (1.1.1.1, 8.8.8.8). Если данные у вашего регистратора еще не разошлись глобально, публичные резолверы могут еще не видеть запись. Используйте dig @1.1.1.1 links.acme.com, чтобы подтвердить то, что видим мы.

Записи выглядят правильно, но Verify продолжает выдавать ошибку. Установите TTL записей на 300 секунд и подождите 10 минут. Высокие значения TTL делают кеширование ошибочных результатов очень длительным.

Функция Apex CNAME flattening была включена, но проверка не прошла. Cloudflare выполняет flattening в момент запроса, но только для запросов через резолверы Cloudflare. Публичные резолверы видят CNAME и отклоняют его. Переключитесь на A-записи явно.

Was this helpful?
Need more? Email the team — replies within one working day.Contact support
Устранение неполадок при проверке DNS · Elido