Что вы исправите
- Проверьте записи CAA и убедитесь, что Let's Encrypt является разрешённым центром сертификации — это наиболее частая причина сбоев при выпуске.
- Отключите прокси Cloudflare с оранжевым облаком, который не даёт Caddy завершить рукопожатие TLS.
- Определите и переждите окно ограничения скорости Let's Encrypt (50 сертификатов на зарегистрированный домен в неделю).
Если ваш пользовательский домен подтвержден, но посетители видят предупреждение TLS («сертификат недействителен», «ERR_CERT_AUTHORITY_INVALID»), Caddy не смог получить сертификат Let's Encrypt. Вот как это исправить.
1. Проверьте записи CAA#
Это причина номер 1. Выполните:
dig CAA links.acme.com
Если вы видите 0 issue "digicert.com" или любой другой центр сертификации, который не является letsencrypt.org, Let's Encrypt заблокирован, и выдача сертификата завершается сбоем без уведомления.
Решение: добавьте 0 issue "letsencrypt.org" в записи CAA вашего домена. Вы можете сохранить существующий ЦС для любого другого использования сертификатов — CAA является аддитивным.
Подождите 1 час для распространения CAA, затем нажмите Повторить проверку на панели управления.
2. Проверьте прокси Cloudflare#
Если вашим DNS-провайдером является Cloudflare и «статус прокси» записи показывает оранжевое облако, Cloudflare завершает TLS на своем пограничном сервере с использованием собственного сертификата. Это нарушает рукопожатие Caddy's on-demand TLS.
Решение: нажмите на оранжевое облако, чтобы оно стало серым (только DNS). CDN Cloudflare несовместим с нашей периферией — мы уже агрессивно кэшируем на POP-сервере, поэтому вы ничего не теряете.
Если вам абсолютно необходим прокси Cloudflare (например, правила WAF), бизнес-планы поддерживают режим custom-origin, при котором вы указываете Cloudflare на наш пограничный IP, и мы принимаем проксированное соединение. Напишите в поддержку, чтобы включить.
3. Проверьте ограничения скорости#
Let's Encrypt ограничивает количество выдаваемых сертификатов до 50 на зарегистрированный домен в неделю. Если вы добавили много поддоменов за короткий промежуток времени, вы можете столкнуться с этим.
Решение: подождите. Мы повторяем попытку каждые 12 часов, и большинство окон ограничения скорости сбрасываются в течение 7 дней. Уже выданные сертификаты продолжают работать — блокируется только новая выдача.
Вы можете подтвердить статус ограничения скорости, проверив crt.sh на наличие последних сертификатов вашего домена.
Все еще не работает?#
- Проверьте нашу страницу состояния. Иногда у самого Let's Encrypt случаются инциденты.
- На странице сведений о домене на панели управления дословно отображается последнее сообщение об ошибке Caddy — вставьте его в чат, и мы проведем диагностику вместе.
- Для изолированных сред вы можете самостоятельно разместить Caddy с собственным внутренним ЦС. Руководство по самостоятельному размещению описывает изменения конфигурации.
Как только заработает#
Установите себе напоминание через 60 дней, чтобы проверить успешное продление. Мы отправляем электронное письмо контактному лицу по выставлению счетов в рабочем пространстве при успешном продлении (вы можете отказаться от этого в разделе Настройки → Уведомления). Если продление не удастся, мы отправим электронное письмо и запустим веб-хук, чтобы ваше оповещение это зафиксировало.