Neyi gidereceksiniz
- Let's Encrypt'in izin verilen bir CA olduğundan emin olmak için CAA kayıtlarını kontrol edin — başarısız verilmenin en yaygın nedeni.
- Caddy'nin TLS el sıkışmasını tamamlamasını engelleyen Cloudflare turuncu bulut proxy'sini kapatın.
- Bir Let's Encrypt hız sınırlaması penceresini (kayıtlı alan adı başına haftada 50 sertifika) tespit edin ve bekleyin.
Özel alan adınız doğrulanmış ancak ziyaretçiler bir TLS uyarısı görüyorsa ("sertifika güvenilir değil", "ERR_CERT_AUTHORITY_INVALID"), Caddy bir Let's Encrypt sertifikası alamamış demektir. İşte düzeltme yolları.
1. CAA kayıtlarını kontrol edin
Bu, en yaygın nedendir (#1). Şunu çalıştırın:
dig CAA links.acme.com
0 issue "digicert.com" veya letsencrypt.org olmayan herhangi bir CA görüyorsanız, Let's Encrypt engellenmiştir ve sertifika verilmesi sessizce başarısız olur.
Düzeltme: alan adınızın CAA kayıtlarına 0 issue "letsencrypt.org" ekleyin. Başka herhangi bir sertifika kullanımı için mevcut CA'yı koruyabilirsiniz — CAA katmalıdır (additive).
CAA yayılımının temizlenmesi için 1 saat bekleyin, ardından panoda Doğrulamayı Yeniden Dene'ye tıklayın.
2. Cloudflare proxy'sini kontrol edin
DNS sağlayıcınız Cloudflare ise ve kaydın "proxy durumu" turuncu bulutu gösteriyorsa, Cloudflare kendi sertifikasıyla TLS'i kendi ucunda (edge) sonlandırıyor demektir. Bu, Caddy'nin talep üzerine TLS el sıkışmasını bozar.
Düzeltme: turuncu bulutu griye tıklayın (Yalnızca DNS). Cloudflare'in CDN'i bizim ucumuzla (edge) uyumsuzdur — zaten uç (edge) POP'unda agresif bir şekilde önbellekleme yapıyoruz, bu yüzden hiçbir şey kaybetmiyorsunuz.
Cloudflare proxy'sine kesinlikle ihtiyacınız varsa (örn. WAF kuralları), Business planları, Cloudflare'i bizim uç (edge) IP'mize yönlendirdiğiniz ve bizim proxy'lenmiş bağlantıyı kabul ettiğimiz özel kaynak (custom-origin) modunu destekler. Etkinleştirmek için destek ekibine e-posta gönderin.
3. Hız sınırlarını kontrol edin
Let's Encrypt, kayıtlı alan adı başına haftada 50 sertifikayla sınırlıdır. Kısa bir süre içinde çok sayıda alt alan adı eklediyseniz, buna takılabilirsiniz.
Düzeltme: bekleyin. Her 12 saatte bir yeniden deneriz ve çoğu hız sınırı penceresi 7 gün içinde temizlenir. Zaten verilmiş sertifikalar çalışmaya devam eder — yalnızca yeni verme işlemleri engellenir.
Alan adınızın son sertifikalarını kontrol ederek hız sınırı durumunu crt.sh üzerinden doğrulayabilirsiniz.
Hâlâ bozuk mu?
- Durum sayfamızı kontrol edin. Bazen Let's Encrypt'in kendisinde bir olay yaşanır.
- Panonun alan adı ayrıntı sayfası, en son Caddy hata mesajını olduğu gibi gösterir — bunu sohbete yapıştırın, birlikte teşhis edelim.
- Hava boşluklu (air-gapped) ortamlar için, Caddy'yi kendi dahili CA'nızla kendiniz barındırabilirsiniz. Kendi kendine barındırma kılavuzu yapılandırma değişikliklerini kapsar.
Çalıştığında
60 gün içinde yenilemenin başarılı olduğunu doğrulamak için kendinize bir hatırlatıcı ayarlayın. Yenileme başarılı olduğunda çalışma alanının faturalandırma kişisine e-posta göndeririz (bunu Ayarlar → Bildirimler altında devre dışı bırakabilirsiniz). Yenileme başarısız olursa, hem e-posta göndeririz hem de bir webhook tetikleriz, böylece uyarı sisteminiz bunu yakalar.