Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X
X

Wählen Sie Ihre Währung

Türk Lirası $ US Dollar Euro
X
X

Wählen Sie Ihre Währung

Türk Lirası $ US Dollar Euro

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
Plesk Obsidian Teknik Rehberi

Plesk Let’s Encrypt Sertifikası Yenilenmiyor: Tüm Hatalar ve Çözümleri

Plesk SSL It! ve Let’s Encrypt işlemleri alan adının kontrolünü ACME doğrulamasıyla kanıtlar. Yanlış A/AAAA kaydı, eksik _acme-challenge TXT, dış DNS, CAA kısıtı, port 80 engeli veya bekleyen wildcard işlemi sertifikanın kurulmasını ve otomatik yenilenmesini durdurabilir.

Let’s EncryptSSL It!_acme-challengeWildcard SSLDNS-01 / HTTP-01
root@sunucu:~SSH
Domain validation failed
Incorrect TXT record found at _acme-challenge.example.com
DNS problem: NXDOMAIN looking up TXT
DNS problem: SERVFAIL looking up TXT
Invalid response from http://example.com/.well-known/acme-challenge/
DNS doğrulamaA, AAAA, TXT ve CAA kayıtları
HTTP doğrulamaPort 80 ve .well-known yolu
WildcardDNS-01 ve dış DNS yönetimi
YenilemeSSL It! görev ve sertifika ataması
01
Teknik açıklama

Plesk Let’s Encrypt doğrulaması nasıl çalışır?

Sertifika otoritesi, alan adını yönettiğinizi HTTP-01 veya DNS-01 doğrulamasıyla kontrol eder. Normal sertifikalarda HTTP yolu kullanılabilirken wildcard sertifikalar çoğunlukla _acme-challenge TXT kaydı gerektirir.

HTTP-01 doğrulamasında alan adının A/AAAA kaydı doğru Plesk sunucusuna yönlenmeli ve internetten port 80 üzerinden challenge dosyasına erişilebilmelidir.

DNS-01 doğrulamasında Plesk’in gösterdiği yeni TXT değeri yetkili nameserver üzerinde yayınlanmalıdır. Eski TXT değeri kalmışsa Incorrect TXT record hatası oluşabilir.

DNS başka sağlayıcıda yönetiliyorsa Plesk yerel DNS bölgesine kayıt eklemek tek başına yeterli değildir. Kayıt gerçek yetkili DNS paneline girilmelidir.

Sertifika alınsa bile web, mail, webmail veya panel servisine atanmamışsa kullanıcı eski sertifikayı görmeye devam edebilir.

Wildcard TXT değeri her yenilemede değişebilir. Dış DNS sağlayıcısı Plesk ile otomatik entegre değilse otomatik yenileme manuel TXT güncellemesi gerektirebilir.

02
Log mesajları ve anlamları

Plesk SSL ve ACME hata mesajları

E-postada, tarayıcıda veya SSH günlüğünde gördüğünüz ifadeyi aratın. Her kartta anlam, muhtemel neden ve güvenli ilk işlem bulunur.

8 kayıt
01kritik

Incorrect TXT record found at _acme-challenge

Anlamı: ACME sunucusu beklenen TXT yerine farklı bir değer görmüştür.

Muhtemel neden: Eski TXT kaydı, yanlış DNS paneli veya henüz tamamlanmamış yayılım.

Yetkili nameserverları belirleyip tüm TXT yanıtlarını dig ile karşılaştırın.
02kritik

NXDOMAIN looking up TXT

Anlamı: _acme-challenge adı DNS üzerinde bulunamamıştır.

Muhtemel neden: TXT kaydı eklenmemiş veya yanlış host alanına girilmiştir.

Yetkili DNS sağlayıcısına doğru isim ve değeri ekleyin.
03kritik

SERVFAIL looking up TXT

Anlamı: Yetkili DNS sunucusu geçerli yanıt üretememiştir.

Muhtemel neden: DNSSEC bozukluğu, nameserver sorunu veya DNS servis hatası.

SOA/NS ve DNSSEC zincirini doğrulayın.
04kritik

Invalid response from /.well-known/acme-challenge

Anlamı: HTTP challenge URL’si beklenen tokenı döndürmemiştir.

Muhtemel neden: Yanlış A/AAAA, port 80 engeli, redirect, proxy veya uygulama kuralı.

Challenge yolunu dış ağdan curl ile test edin.
05uyarı

CAA record forbids issuance

Anlamı: CAA kaydı Let’s Encrypt’in sertifika vermesine izin vermiyordur.

Muhtemel neden: Yanlış veya kısıtlayıcı issue/issuewild kaydı.

CAA kayıtlarını inceleyip kurum politikasına uygun izin ekleyin.
06uyarı

Too many failed authorizations / rate limit

Anlamı: Let’s Encrypt kısa sürede çok sayıda başarısız deneme algılamıştır.

Muhtemel neden: Sorun çözülmeden tekrar tekrar sertifika isteği gönderilmiştir.

Önce DNS/HTTP doğrulamasını staging veya manuel araçla doğrulayın ve bekleme süresine uyun.
07kritik

Certificate renewal failed

Anlamı: Mevcut sertifikanın otomatik yenileme görevi tamamlanamamıştır.

Muhtemel neden: DNS değişikliği, dış DNS, görev hatası veya domain kapsamının değişmesi.

SSL It! geçmişini ve panel.log içindeki yenileme mesajını inceleyin.
08uyarı

Sertifika kuruldu fakat tarayıcı eski sertifikayı gösteriyor

Anlamı: Yeni sertifika doğru servise atanmamıştır veya proxy cache eski sertifika sunuyordur.

Muhtemel neden: Domain hosting ayarı, mail/panel sertifikası veya CDN edge sertifikası.

openssl ile doğrudan origin ve public endpoint sertifikalarını ayrı kontrol edin.

Bu ifadeyle eşleşen kayıt bulunamadı.

03
Güvenli ilk inceleme

SSH teşhis komutları ve hangi çıktıya bakılmalı?

Komutlar root erişimi içindir. Önce yalnızca durum ve log toplayın; nedeni görmeden kalıcı ayar değiştirmeyin.

A ve AAAA kayıtları
dig +short A example.com
dig +short AAAA example.com
dig +trace example.com | tail -n 30

Alan adının ve IPv6 kaydının hangi sunucuya yöneldiğini gösterir.

Yetkili NS ve SOA
dig +short NS example.com
dig SOA example.com +noall +answer

Değişikliğin hangi DNS sağlayıcısında yapılması gerektiğini belirler.

ACME TXT kontrolü
dig TXT _acme-challenge.example.com +noall +answer

Dış dünyada görülen TXT değerlerini listeler.

HTTP challenge testi
curl -vI http://example.com/.well-known/acme-challenge/eka-test

Port 80, yönlendirme ve challenge yoluna dış erişimi gösterir.

Sunulan sertifika
openssl s_client -connect example.com:443 -servername example.com </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer -dates -ext subjectAltName

Sunucunun gerçekten sunduğu sertifika isimlerini ve tarihlerini gösterir.

Plesk SSL logları
grep -Ei 'letsencrypt|acme|certificate|sslIt' /var/log/plesk/panel.log | tail -n 120

Plesk panelindeki sertifika işlemlerinin hata ayrıntılarını gösterir.

Web sertifika yapılandırması
plesk repair web example.com

Domain web yapılandırması ve SSL atamalarını Plesk tarafında kontrol eder.

04
Güvenli çözüm sırası

Plesk Let’s Encrypt yenileme hatasını doğru sırayla çözme

Sertifika tipini belirleyin, yetkili DNS’i doğrulayın, challenge yolunu test edin ve yalnız sorun giderildikten sonra yeniden istekte bulunun.

1

Normal mi wildcard mı olduğunu belirleyin

Wildcard sertifika DNS-01 TXT doğrulaması gerektirir. Normal sertifika HTTP-01 ile alınabiliyorsa süreç farklıdır.

2

Yetkili DNS sağlayıcısını bulun

NS kayıtları Plesk sunucusunu göstermiyorsa TXT ve diğer kayıtlar harici DNS panelinde düzenlenmelidir.

dig +short NS example.com
3

A, AAAA, TXT ve CAA kayıtlarını doğrulayın

Yanlış IPv6 kaydı, eski TXT veya kısıtlayıcı CAA sertifika işlemini bozabilir.

4

HTTP challenge yolunu dışarıdan test edin

Port 80 ve .well-known yolu proxy, redirect veya güvenlik kuralı tarafından engellenmemelidir.

curl -v http://example.com/.well-known/acme-challenge/eka-test
5

DNS yayılımı tamamlandıktan sonra yeniden deneyin

TXT tüm yetkili resolverlarda görünmeden Continue/Reload veya yeni istek göndermeyin.

6

Yeni sertifikanın servislere atandığını doğrulayın

Web sitesi, webmail, mail ve panel için sertifika atamaları ayrı olabilir. openssl ile public endpointi kontrol edin.

05
Belirtiye göre ayrım

Özel senaryolar ve karar ağacı

Cloudflare proxy kullanılıyor

HTTP challenge sırasında redirect ve WAF kuralları kontrol edilir. Origin A/AAAA kaydı doğru olmalı; wildcard için gerçek DNS TXT kaydı gereklidir.

Wildcard otomatik yenilenmiyor

DNS Plesk dışında ve API entegrasyonu yoksa yeni TXT değerinin manuel güncellenmesi gerekebilir.

Web SSL doğru, mail sertifikası yanlış

Mail server ve webmail sertifika atamaları Tools & Settings bölümünde ayrıca kontrol edilir.

AAAA yanlış sunucuya gidiyor

Let’s Encrypt IPv6 üzerinden yanlış origin’e ulaşabilir. Kullanılmayan AAAA kaldırılmalı veya doğru IP’ye yönlenmelidir.

DNSSEC sonrası SERVFAIL

Registrar DS kaydı ile DNS sağlayıcısındaki anahtar uyumu kontrol edilir; bozuk zincir çözülmeden sertifika istenmez.

Kesinlikle yapmayın

  • Sorun çözülmeden arka arkaya sertifika isteği gönderip rate limit oluşturmayın.
  • Eski TXT kayıtlarını ne işe yaradığını belirlemeden topluca silmeyin.
  • DNS Plesk dışında yönetilirken yalnız Plesk DNS ekranını düzenlemeyin.
  • Port 80’i kalıcı olarak firewall ile engelleyip HTTP-01 yenileme beklemeyin.
  • Sertifika anahtar dosyalarını e-posta veya destek mesajında paylaşmayın.
  • Wildcard sertifikayı otomatik yenileniyor varsayarak son kullanma tarihini izlemeyi bırakmayın.

Çözüm sonrası doğrulama

  • A ve varsa AAAA kayıtları doğru origin sunucusuna gidiyor.
  • _acme-challenge TXT beklenen değeri tüm yetkili DNS’lerde gösteriyor.
  • CAA Let’s Encrypt kullanımına izin veriyor.
  • HTTP challenge yolu 403/404 yerine beklenen tokena erişebiliyor.
  • Sunulan sertifika doğru SAN alanlarını ve yeni bitiş tarihini içeriyor.
  • SSL It! otomatik yenileme görevi hata üretmiyor.
06
Resmî teknik kaynaklar

cPanel ve üretici dokümantasyonu

07
İç SEO içerik kümesi

İlgili cPanel ve sunucu hata çözümleri

08
Sık sorulan sorular

Plesk Let’s Encrypt Hatası hakkında merak edilenler

Plesk SSL neden otomatik yenilenmez?

DNS veya challenge koşulları ilk kurulumdan sonra değişmiş olabilir. Dış DNS’te wildcard TXT değerinin otomatik güncellenememesi de yaygın nedendir.

Incorrect TXT record ne demek?

Let’s Encrypt beklediği yeni token yerine farklı veya eski TXT değeri görüyor demektir.

Wildcard SSL için neden TXT kaydı gerekir?

Wildcard kapsamındaki tüm alt alan adlarını tek tek HTTP ile doğrulamak mümkün olmadığından alan adı kontrolü DNS-01 yöntemiyle kanıtlanır.

Cloudflare SSL ile Let’s Encrypt aynı şey mi?

Hayır. Cloudflare edge sertifikası ziyaretçi ile Cloudflare arasındadır; origin Plesk sunucusunun sertifikası ayrıca yönetilir.

AAAA kaydı SSL işlemini etkiler mi?

Evet. Alan adı IPv6 ile yanlış sunucuya gidiyorsa doğrulama o endpoint üzerinden başarısız olabilir.

Sertifika kurulduğu hâlde neden eski sertifika görünüyor?

Yeni sertifika ilgili domain veya servise atanmamış olabilir ya da CDN/proxy kendi sertifikasını gösteriyor olabilir.

CAA kaydı gerekli mi?

Zorunlu değildir; fakat mevcutsa yalnız izin verilen sertifika otoriteleri sertifika verebilir. Yanlış CAA işlemi engeller.

EKA YAZILIM VE BİLİŞİM SİSTEMLERİ

Sunucunuzdaki hatayı kalıcı olarak çözelim

cPanel, WHM, CloudLinux, LiteSpeed, MariaDB, Exim ve güvenlik katmanlarını birlikte analiz ederek yalnızca servisi kaldırmak yerine arızanın temel nedenini gideriyoruz.

Sunucu Desteği Al WhatsApp
Top