Plesk SSL It! ve Let’s Encrypt işlemleri alan adının kontrolünü ACME doğrulamasıyla kanıtlar. Yanlış A/AAAA kaydı, eksik _acme-challenge TXT, dış DNS, CAA kısıtı, port 80 engeli veya bekleyen wildcard işlemi sertifikanın kurulmasını ve otomatik yenilenmesini durdurabilir.
Domain validation failed
Incorrect TXT record found at _acme-challenge.example.com
DNS problem: NXDOMAIN looking up TXT
DNS problem: SERVFAIL looking up TXT
Invalid response from http://example.com/.well-known/acme-challenge/
Sertifika otoritesi, alan adını yönettiğinizi HTTP-01 veya DNS-01 doğrulamasıyla kontrol eder. Normal sertifikalarda HTTP yolu kullanılabilirken wildcard sertifikalar çoğunlukla _acme-challenge TXT kaydı gerektirir.
HTTP-01 doğrulamasında alan adının A/AAAA kaydı doğru Plesk sunucusuna yönlenmeli ve internetten port 80 üzerinden challenge dosyasına erişilebilmelidir.
DNS-01 doğrulamasında Plesk’in gösterdiği yeni TXT değeri yetkili nameserver üzerinde yayınlanmalıdır. Eski TXT değeri kalmışsa Incorrect TXT record hatası oluşabilir.
DNS başka sağlayıcıda yönetiliyorsa Plesk yerel DNS bölgesine kayıt eklemek tek başına yeterli değildir. Kayıt gerçek yetkili DNS paneline girilmelidir.
Sertifika alınsa bile web, mail, webmail veya panel servisine atanmamışsa kullanıcı eski sertifikayı görmeye devam edebilir.
Wildcard TXT değeri her yenilemede değişebilir. Dış DNS sağlayıcısı Plesk ile otomatik entegre değilse otomatik yenileme manuel TXT güncellemesi gerektirebilir.
E-postada, tarayıcıda veya SSH günlüğünde gördüğünüz ifadeyi aratın. Her kartta anlam, muhtemel neden ve güvenli ilk işlem bulunur.
Anlamı: ACME sunucusu beklenen TXT yerine farklı bir değer görmüştür.
Muhtemel neden: Eski TXT kaydı, yanlış DNS paneli veya henüz tamamlanmamış yayılım.
Anlamı: _acme-challenge adı DNS üzerinde bulunamamıştır.
Muhtemel neden: TXT kaydı eklenmemiş veya yanlış host alanına girilmiştir.
Anlamı: Yetkili DNS sunucusu geçerli yanıt üretememiştir.
Muhtemel neden: DNSSEC bozukluğu, nameserver sorunu veya DNS servis hatası.
Anlamı: HTTP challenge URL’si beklenen tokenı döndürmemiştir.
Muhtemel neden: Yanlış A/AAAA, port 80 engeli, redirect, proxy veya uygulama kuralı.
Anlamı: CAA kaydı Let’s Encrypt’in sertifika vermesine izin vermiyordur.
Muhtemel neden: Yanlış veya kısıtlayıcı issue/issuewild kaydı.
Anlamı: Let’s Encrypt kısa sürede çok sayıda başarısız deneme algılamıştır.
Muhtemel neden: Sorun çözülmeden tekrar tekrar sertifika isteği gönderilmiştir.
Anlamı: Mevcut sertifikanın otomatik yenileme görevi tamamlanamamıştır.
Muhtemel neden: DNS değişikliği, dış DNS, görev hatası veya domain kapsamının değişmesi.
Anlamı: Yeni sertifika doğru servise atanmamıştır veya proxy cache eski sertifika sunuyordur.
Muhtemel neden: Domain hosting ayarı, mail/panel sertifikası veya CDN edge sertifikası.
Bu ifadeyle eşleşen kayıt bulunamadı.
Komutlar root erişimi içindir. Önce yalnızca durum ve log toplayın; nedeni görmeden kalıcı ayar değiştirmeyin.
dig +short A example.com
dig +short AAAA example.com
dig +trace example.com | tail -n 30
Alan adının ve IPv6 kaydının hangi sunucuya yöneldiğini gösterir.
dig +short NS example.com
dig SOA example.com +noall +answer
Değişikliğin hangi DNS sağlayıcısında yapılması gerektiğini belirler.
dig TXT _acme-challenge.example.com +noall +answer
Dış dünyada görülen TXT değerlerini listeler.
curl -vI http://example.com/.well-known/acme-challenge/eka-test
Port 80, yönlendirme ve challenge yoluna dış erişimi gösterir.
openssl s_client -connect example.com:443 -servername example.com </dev/null 2>/dev/null | openssl x509 -noout -subject -issuer -dates -ext subjectAltName
Sunucunun gerçekten sunduğu sertifika isimlerini ve tarihlerini gösterir.
grep -Ei 'letsencrypt|acme|certificate|sslIt' /var/log/plesk/panel.log | tail -n 120
Plesk panelindeki sertifika işlemlerinin hata ayrıntılarını gösterir.
plesk repair web example.com
Domain web yapılandırması ve SSL atamalarını Plesk tarafında kontrol eder.
Sertifika tipini belirleyin, yetkili DNS’i doğrulayın, challenge yolunu test edin ve yalnız sorun giderildikten sonra yeniden istekte bulunun.
Wildcard sertifika DNS-01 TXT doğrulaması gerektirir. Normal sertifika HTTP-01 ile alınabiliyorsa süreç farklıdır.
NS kayıtları Plesk sunucusunu göstermiyorsa TXT ve diğer kayıtlar harici DNS panelinde düzenlenmelidir.
dig +short NS example.comYanlış IPv6 kaydı, eski TXT veya kısıtlayıcı CAA sertifika işlemini bozabilir.
Port 80 ve .well-known yolu proxy, redirect veya güvenlik kuralı tarafından engellenmemelidir.
curl -v http://example.com/.well-known/acme-challenge/eka-testTXT tüm yetkili resolverlarda görünmeden Continue/Reload veya yeni istek göndermeyin.
Web sitesi, webmail, mail ve panel için sertifika atamaları ayrı olabilir. openssl ile public endpointi kontrol edin.
HTTP challenge sırasında redirect ve WAF kuralları kontrol edilir. Origin A/AAAA kaydı doğru olmalı; wildcard için gerçek DNS TXT kaydı gereklidir.
DNS Plesk dışında ve API entegrasyonu yoksa yeni TXT değerinin manuel güncellenmesi gerekebilir.
Mail server ve webmail sertifika atamaları Tools & Settings bölümünde ayrıca kontrol edilir.
Let’s Encrypt IPv6 üzerinden yanlış origin’e ulaşabilir. Kullanılmayan AAAA kaldırılmalı veya doğru IP’ye yönlenmelidir.
Registrar DS kaydı ile DNS sağlayıcısındaki anahtar uyumu kontrol edilir; bozuk zincir çözülmeden sertifika istenmez.
DNS veya challenge koşulları ilk kurulumdan sonra değişmiş olabilir. Dış DNS’te wildcard TXT değerinin otomatik güncellenememesi de yaygın nedendir.
Let’s Encrypt beklediği yeni token yerine farklı veya eski TXT değeri görüyor demektir.
Wildcard kapsamındaki tüm alt alan adlarını tek tek HTTP ile doğrulamak mümkün olmadığından alan adı kontrolü DNS-01 yöntemiyle kanıtlanır.
Hayır. Cloudflare edge sertifikası ziyaretçi ile Cloudflare arasındadır; origin Plesk sunucusunun sertifikası ayrıca yönetilir.
Evet. Alan adı IPv6 ile yanlış sunucuya gidiyorsa doğrulama o endpoint üzerinden başarısız olabilir.
Yeni sertifika ilgili domain veya servise atanmamış olabilir ya da CDN/proxy kendi sertifikasını gösteriyor olabilir.
Zorunlu değildir; fakat mevcutsa yalnız izin verilen sertifika otoriteleri sertifika verebilir. Yanlış CAA işlemi engeller.
cPanel, WHM, CloudLinux, LiteSpeed, MariaDB, Exim ve güvenlik katmanlarını birlikte analiz ederek yalnızca servisi kaldırmak yerine arızanın temel nedenini gideriyoruz.