AutoSSL sertifika oluşturamıyor veya yenileyemiyorsa sorun çoğunlukla alan adının DNS yönü, A/AAAA kayıtları, CAA politikası, .well-known doğrulama yolu, Cloudflare proxy veya cPanel domain sahipliğiyle ilgilidir. Bu rehber hata metnine göre doğru kontrolü seçer.
AutoSSL failed to secure the domain.
DNS DCV: SERVFAIL looking up A for example.com
Local HTTP DCV error: 403
The domain is unmanaged.
CAA record prevents certificate issuance.
cPanel AutoSSL, hesap alan adlarını tarar ve uygun alan adları için ücretsiz DV sertifikası oluşturur veya yeniler. Sertifika otoritesi alan adı kontrolünü DNS veya HTTP tabanlı Domain Control Validation yöntemiyle doğrulayamıyorsa sertifika düzenlenmez.
DNS DCV sırasında alan adının A veya AAAA kayıtları, nameserver yanıtı ve CAA politikası kontrol edilir. SERVFAIL, timeout veya yanlış IP doğrulamanın daha başlamadan başarısız olmasına neden olabilir.
HTTP DCV, alan adındaki özel .well-known doğrulama yoluna dışarıdan erişmeyi gerektirir. 403, 404, sonsuz yönlendirme, uygulama router’ı veya WAF kuralı doğrulama dosyasını engelleyebilir.
Cloudflare turuncu bulut çoğu durumda AutoSSL ile çalışabilir; ancak yanlış Origin Rule, Workers, Always Use HTTPS, Access politikası veya AAAA kaydı doğrulamayı farklı bir hedefe yönlendirebilir.
Bir domain cPanel hesabında addon, alias veya subdomain olarak doğru tanımlı değilse AutoSSL onu unmanaged görebilir. DNS doğru olsa bile hesap sahipliği ve userdata kaydı doğrulanmalıdır.
AutoSSL logları hata nedenini açıkça yazar. Sertifikayı tekrar tekrar çalıştırmadan önce DNS’in dünyadan doğru yanıt verdiğini ve HTTP doğrulama yolunun dış erişime açık olduğunu kanıtlayın.
E-postada, tarayıcıda veya SSH günlüğünde gördüğünüz ifadeyi aratın. Her kartta anlam, muhtemel neden ve güvenli ilk işlem bulunur.
Anlamı: AutoSSL alan adı için sertifika oluşturma veya yenileme işlemini tamamlayamamıştır.
Muhtemel neden: DNS/HTTP DCV, CAA, rate limit, domain sahipliği veya bağlantı problemi.
Anlamı: Yetkili DNS sunucusu geçerli A yanıtı üretememiştir.
Muhtemel neden: Bozuk zone, DNSSEC uyuşmazlığı, nameserver erişimi veya upstream DNS sorunu.
Anlamı: Sertifika doğrulama sistemi DNS yanıtını zamanında alamamıştır.
Muhtemel neden: UDP/TCP 53 engeli, nameserver kapalı, firewall veya ağ sorunu.
Anlamı: Doğrulama URL’sine erişim yasaklanmıştır.
Muhtemel neden: ModSecurity, .htaccess deny, WAF, Cloudflare Access veya dosya izinleri.
Anlamı: Doğrulama dosyası beklenen URL’den sunulamamıştır.
Muhtemel neden: Yanlış DocumentRoot, rewrite/router, proxy, yönlendirme veya domain başka sunucuya gidiyor.
Anlamı: CAA kaydı AutoSSL’in kullandığı sertifika otoritesine izin vermemektedir.
Muhtemel neden: Yalnız farklı CA’ya izin veren issue/issuewild kayıtları veya CAA SERVFAIL.
Anlamı: cPanel bu alan adını ilgili hesap tarafından yönetilen domain olarak görmemektedir.
Muhtemel neden: Addon domain kaydı eksik, userdata bozuk, domain başka hesaba ait veya kaldırılmış.
Anlamı: Hem HTTP hem DNS doğrulama yöntemleri başarısız olmuştur.
Muhtemel neden: Alan adı yanlış sunucuya yönleniyor, DNS bozuk veya doğrulama yolu engelli.
Anlamı: Mevcut sertifika yeterince uzun süre geçerli olduğu için yenileme ertelenmiş olabilir.
Muhtemel neden: Normal AutoSSL davranışı veya kullanıcı tarafından yüklenen sertifikanın korunması.
Anlamı: Sunucu istenen alan adına ait olmayan sertifika sunmaktadır.
Muhtemel neden: SNI/vhost eşleşmesi, yanlış IP, proxy, eski sertifika veya servis SSL’i.
Anlamı: IPv6 destekli doğrulayıcı alan adını başka hedefte doğrulamaya çalışabilir.
Muhtemel neden: Eski veya yanlış AAAA kaydı; yeni sunucuda IPv6 yapılandırılmamış.
Anlamı: Sertifika otoritesinin tekrar veya domain seti sınırı aşılmıştır.
Muhtemel neden: Sık başarısız deneme, çok sayıda aynı sertifika veya yanlış test süreci.
Bu ifadeyle eşleşen kayıt bulunamadı.
Komutlar root erişimi içindir. Önce yalnızca durum ve log toplayın; nedeni görmeden kalıcı ayar değiştirmeyin.
/usr/local/cpanel/bin/autossl_check --user=USERNAME
Belirli cPanel hesabı için AutoSSL kontrolünü başlatır ve sonuç üretir.
/usr/local/cpanel/bin/autossl_check --all
Bütün AutoSSL etkin kullanıcıları tarar; yoğun sunucuda dikkatli kullanılmalıdır.
ls -lt /var/cpanel/logs/autossl/ | head
find /var/cpanel/logs/autossl -type f -mtime -2 -print 2>/dev/null | tail -n 20
En yeni AutoSSL çalışma günlüklerini bulur.
dig +short A ALANADI
dig +short AAAA ALANADI
dig +short NS ALANADI
dig +short CAA ALANADI
A, IPv6, nameserver ve CAA kayıtlarını hızlıca gösterir.
for ns in $(dig +short NS ALANADI); do echo "### $ns"; dig @$ns ALANADI A +norecurse; done
Resolver cache’ini atlayıp yetkili nameserver yanıtlarını karşılaştırır.
mkdir -p /home/USERNAME/public_html/.well-known/acme-challenge
echo eka-dcv-test > /home/USERNAME/public_html/.well-known/acme-challenge/eka-test.txt
curl -IL http://ALANADI/.well-known/acme-challenge/eka-test.txt
Doğrulama yolunun 200 yanıtı verip vermediğini test eder; iş bitince test dosyasını silin.
echo | openssl s_client -connect ALANADI:443 -servername ALANADI 2>/dev/null | openssl x509 -noout -subject -issuer -dates -ext subjectAltName
SNI ile sunulan sertifikanın alan adlarını ve tarihlerini gösterir.
/usr/local/cpanel/bin/whmapi1 get_domain_info domain=ALANADI
grep -R "^documentroot:" /var/cpanel/userdata/USERNAME/ALANADI* 2>/dev/null
Domainin hangi hesaba ve DocumentRoot’a bağlı olduğunu doğrular.
Önce logdaki doğrulama türünü belirleyin; ardından DNS, HTTP yolu, CAA, hesap sahipliği ve sunulan sertifikayı ayrı ayrı doğrulayın.
Genel failed mesajı yerine ilgili domain satırındaki DNS DCV, HTTP DCV, CAA veya rate limit nedenini kaydedin.
find /var/cpanel/logs/autossl -type f -mtime -2 -print 2>/dev/null | tailAlan adı bu cPanel sunucusunun doğru IP’sine gitmelidir. Eski AAAA kaydı ve bölünmüş nameserver delegasyonu özellikle kontrol edilir.
dig +short A ALANADI
dig +short AAAA ALANADI
dig +trace ALANADI NS | tail -n 30CAA yalnız izin verilen sertifika otoritelerini belirtmelidir. DNSSEC varsa registrar DS kaydı ile zone imzası uyumlu olmalıdır.
dig CAA ALANADI +dnssec
dig DNSKEY ALANADI +dnssecTest dosyası 200 dönmelidir. 403/404 varsa .htaccess, ModSecurity, proxy, uygulama router’ı ve Cloudflare kuralları düzenlenir.
curl -IL http://ALANADI/.well-known/acme-challenge/eka-test.txtDomain doğru cPanel hesabında ve doğru DocumentRoot ile kayıtlı olmalıdır. Gerekirse userdata yeniden oluşturma işlemi uzman kontrolünde yapılır.
/usr/local/cpanel/bin/whmapi1 get_domain_info domain=ALANADIKök neden düzeldikten sonra yalnız ilgili kullanıcı için AutoSSL çalıştırın ve openssl ile yeni sertifikanın SAN ve bitiş tarihini kontrol edin.
/usr/local/cpanel/bin/autossl_check --user=USERNAME
echo | openssl s_client -connect ALANADI:443 -servername ALANADI 2>/dev/null | openssl x509 -noout -dates -ext subjectAltNameA/AAAA kayıtları, proxy durumu, Origin Rules, Workers, Access ve Redirect Rules kontrol edilir. Geçici DNS-only testi yapılacaksa güvenlik ve origin IP görünürlüğü hesaba katılmalıdır.
dig +short A ALANADI
dig +short AAAA ALANADI
curl -IL http://ALANADI/.well-known/acme-challenge/eka-test.txtModSecurity audit logu, .htaccess deny kuralları ve Cloudflare/WAF politikası incelenir. Tüm güvenlik katmanını kapatmak yerine yalnız doğrulama yoluna dar istisna verilir.
grep -R "ALANADI" /usr/local/apache/logs/modsec_audit.log 2>/dev/null | tail -n 40HTTP→HTTPS ve www→non-www kuralları birbirini döndürüyor olabilir. .well-known yolu yönlendirme döngüsünden hariç tutulmalıdır.
curl -IL --max-redirs 10 http://ALANADI/.well-known/acme-challenge/eka-test.txtIPv6 doğrulaması eski sunucuya gidebilir. IPv6 kullanılmıyorsa AAAA kaldırılır; kullanılıyorsa aynı vhost ve doğrulama yolu IPv6 üzerinde de çalışmalıdır.
curl -6IL http://ALANADI/.well-known/acme-challenge/eka-test.txt
curl -4IL http://ALANADI/.well-known/acme-challenge/eka-test.txtWeb sitesi AutoSSL’i ile WHM/cPanel/Exim/Dovecot servis sertifikaları aynı iş akışı değildir. Hostname DNS’i ve Manage Service SSL Certificates bölümü ayrıca kontrol edilir.
hostname -f
dig +short A $(hostname -f)
/usr/local/cpanel/bin/checkallsslcertsEn yaygın nedenler yanlış A/AAAA kaydı, DNS SERVFAIL, HTTP doğrulama yolunun 403/404 dönmesi, CAA kısıtı, domainin cPanel hesabında yönetilmemesi ve rate limit’tir.
DNS DCV alan adının DNS kayıtları üzerinden, HTTP DCV ise web kökündeki özel doğrulama dosyasına erişim üzerinden alan adı kontrolünü kanıtlar.
Her zaman engellemez. Ancak yanlış proxy, Worker, Access, redirect veya AAAA yapılandırması doğrulama isteğini farklı hedefe ya da 403/404 cevabına yönlendirebilir.
.well-known/acme-challenge yolunu engelleyen .htaccess, ModSecurity, WAF veya erişim politikasını bulun ve yalnız bu doğrulama yoluna güvenli istisna uygulayın.
Alan adı adına hangi sertifika otoritelerinin sertifika düzenleyebileceğini belirten DNS kaydıdır. AutoSSL sağlayıcısına izin vermiyorsa düzenleme başarısız olur.
Evet. Alan adında AAAA varsa doğrulayıcı IPv6 hedefini kullanabilir. AAAA farklı veya erişilemez sunucuya gidiyorsa DCV başarısız olabilir.
Belirli hesap için /usr/local/cpanel/bin/autossl_check --user=USERNAME komutu kullanılır. Önce hata nedeni düzeltilmelidir.
Proxy/CDN eski sertifikayı sunuyor olabilir, yanlış IP’ye bağlanılıyor olabilir veya web servisi yeni sertifikayı henüz yüklememiş olabilir. SNI ile openssl kontrolü yapılmalıdır.
cPanel, WHM, CloudLinux, LiteSpeed, MariaDB, Exim ve güvenlik katmanlarını birlikte analiz ederek yalnızca servisi kaldırmak yerine arızanın temel nedenini gideriyoruz.