Let's Encrypt 的 DNS 验证是不是这几天出问题了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2412 天前的主题，其中的信息可能已经有所发展或是发生改变。

dnspod 上的域名始终是 Verify error:DNS problem: SERVFAIL looking up CAA for....

10 条回复 • 2018-06-01 00:27:24 +08:00

msg7086

2018-04-02 21:38:43 +08:00

试过用中国以外国家的 DNS 吗？

pubby

2018-04-02 21:47:15 +08:00 via Android

@msg7086 试过 aliyun 的，有几个正常，有些也报这个错

pubby

2018-04-02 21:51:23 +08:00

现在干脆报这个错了
Challenge error: An error occurred while processing your request.
Reference #179.5fe82d17.1522676619.342eaac5

用的 acme.sh

几十个域名续期，已经折腾好几天了

总感觉是 Let's 那边验证服务器这几天在抽风，这边记录都写进去了

msg7086

2018-04-02 21:57:43 +08:00

可以尝试一下这种方法： https://sb.sb/blog/linux-lets-encrypt-wildcard-ssl/

pubby

2018-04-03 10:55:08 +08:00

@msg7086 按照这个办法，新签的可以了，但是续签的依然不行，改 domain.conf 配置文件加入了 Le_ChallengeAlias='[email protected],' 了的

同样的错误信息 host.example.org:Verify error:DNS problem: SERVFAIL looking up CAA for host.example.org

已经新加了 CNAME _acme-challenge.host.example.org -> acme.example.com.

msg7086

2018-04-03 12:03:32 +08:00

你可以试着先本地测试一下 CAA 记录。

dig host.example.org caa

pubby

2018-05-31 20:49:57 +08:00

@msg7086 2 个月后的今天又有几个域名遇到同样问题，终于找到原因了

要验证 example.com 那么 @ 不能是 CNAME 记录
要验证 sub.example.com 那么 sub 不能是 CNAME 记录
否则怎么都通不过验证，domain-alias / challenge-alias 也不行

msg7086

2018-05-31 23:44:24 +08:00

@pubby 可以 CNAME 的，在 CNAME 指向的域名设置就行了。

pubby

2018-06-01 00:24:42 +08:00 via Android

@msg7086 cname 指向的域名那边具体需要设置些什么呢。

以前用了一年多确实可以的，奇了怪

msg7086

2018-06-01 00:27:24 +08:00

@pubby CNAME 是别名。
比如 a CNAME 到 b，那么任何 a 的记录都是到 b 域名取的。也就是说，CNAME 以后，CAA 记录也好 MX 记录也好，设置在 b 域名上的记录才对 a 生效。