Custom Domains
Усунення помилок TLS на власному домені
Чому не вдалося видати TLS-сертифікат і три виправлення, які вирішують 95% випадків.
Updated 2026-05-09
Якщо твій власний домен верифіковано, але відвідувачі бачать попередження TLS («certificate not trusted», «ERR_CERT_AUTHORITY_INVALID»), Caddy не зміг отримати сертифікат Let's Encrypt. Ось як це виправити.
1. Перевір CAA-записи#
Це причина №1. Запусти:
dig CAA links.acme.com
Якщо бачиш 0 issue "digicert.com" або будь-який CA, який не є letsencrypt.org, Let's Encrypt заблоковано і видача сертифіката мовчки провалюється.
Виправлення: додай 0 issue "letsencrypt.org" до CAA-записів свого домену. Можеш залишити наявний CA для інших сертифікатів — CAA є адитивним.
Зачекай 1 годину на поширення CAA-змін, потім натисни Retry verification у dashboard.
2. Перевір Cloudflare proxy#
Якщо твій DNS-провайдер — Cloudflare і для запису відображається помаранчева хмарка («proxy status»), Cloudflare завершує TLS на своєму краю зі своїм власним сертифікатом. Це ламає Caddy on-demand TLS handshake.
Виправлення: клікни на помаранчеву хмарку, щоб вона стала сірою (DNS only). CDN Cloudflare несумісний з нашим edge — ми вже агресивно кешуємо на edge POP, тож ти нічого не втрачаєш.
Якщо тобі абсолютно необхідний Cloudflare proxy (наприклад, для WAF-правил), плани Business підтримують режим custom-origin, де ти вказуєш Cloudflare на наш edge IP, а ми приймаємо проксоване з'єднання. Напиши до підтримки, щоб увімкнути це.
3. Перевір rate limits#
Let's Encrypt обмежує до 50 сертифікатів на зареєстрований домен на тиждень. Якщо ти додав багато субдоменів за короткий час, можеш досягти цього ліміту.
Виправлення: зачекай. Ми повторюємо спробу кожні 12 годин, і більшість вікон rate-limit очищаються впродовж 7 днів. Вже видані сертифікати продовжують працювати — блокується лише нова видача.
Ти можеш підтвердити статус rate-limit, перевіривши crt.sh на наявність нещодавніх сертифікатів для свого домену.
Досі не працює?#
- Перевір нашу сторінку статусу. Іноді сам Let's Encrypt має інцидент.
- Сторінка деталей домену у dashboard показує найсвіжіше повідомлення про помилку Caddy дослівно — встав його в чат, і ми разом діагностуємо.
- Для ізольованих середовищ можна розгорнути Caddy з власним внутрішнім CA. Посібник із самостійного розгортання охоплює необхідні зміни конфігурації.
Коли все запрацює#
Постав собі нагадування через 60 днів, щоб перевірити, чи успішно відбулося поновлення. Ми надсилаємо листа білінговому контакту workspace при успішному поновленні (можна відписатися в Settings → Notifications). Якщо поновлення не вдається, ми надсилаємо листа і відправляємо webhook, щоб твій моніторинг це зафіксував.