Кейс

SSL-сертификат не выпускается

При выпуске SSL появляется ошибка проверки домена. Сайт может открываться, но сертификат не обновляется или браузер показывает предупреждение о безопасности.

SSL HTTPS/DNS Диагностика 20-60 минут

Ситуация

SSL-сертификат может не выпускаться даже при рабочем сайте. Проверка Let’s Encrypt зависит от того, куда указывает домен, как отвечает веб-сервер и доступен ли проверочный файл.

Если домен, поддомен или webmail указывает не туда, использует старый сертификат или отдаёт внутреннюю TLS-ошибку, выпуск сертификата завершится неудачно.

Что проверяется

  • A/AAAA-записи домена и поддоменов;
  • куда фактически приходит запрос по HTTP и HTTPS;
  • доступность пути /.well-known/acme-challenge/;
  • редиректы с HTTP на HTTPS и между www/non-www;
  • ответ nginx/apache и наличие ошибок TLS;
  • влияние Cloudflare или другого прокси;
  • цепочка сертификатов после установки.

Типовая причина

Частый сценарий: основной домен указывает на правильный сервер, а поддомен webmail или www указывает на другой IP. Вторая частая причина: проксирование через Cloudflare мешает проверке или скрывает реальный ответ сервера.

Иногда проблема не в DNS, а в конфигурации веб-сервера: запрос на проверочный файл уходит в неправильный виртуальный хост или блокируется редиректом.

Решение

  1. Проверить DNS-записи домена и всех нужных поддоменов.
  2. Проверить HTTP-ответ без браузера через curl.
  3. Убедиться, что проверочный путь доступен снаружи.
  4. Временно отключить проксирование, если проверке мешает Cloudflare.
  5. Исправить виртуальный хост, редиректы или путь проверки.
  6. После выпуска проверить срок сертификата и цепочку доверия.

Итог

SSL нужно диагностировать не только через кнопку выпуска в панели. Важно проверить DNS, HTTP, HTTPS, редиректы и фактический ответ сервера. Тогда становится понятно, где именно ломается проверка.

Как снизить риск повторения

SSL-сертификаты чаще всего не выпускаются из-за несоответствия DNS, редиректов, проксирования или неправильной обработки проверочного файла. Перед выпуском сертификата важно убедиться, что домен действительно открывается с нужного сервера.

  • проверять A/AAAA-записи основного домена и поддоменов;
  • отключать проксирование Cloudflare на время проверки, если оно мешает выпуску;
  • убедиться, что /.well-known/acme-challenge/ доступен извне;
  • проверять HTTP/HTTPS-редиректы и виртуальный хост веб-сервера;
  • после выпуска проверять срок действия и цепочку сертификата.