Почему не обновляются txt записи в домене?

Question

[GeneAYak]

Пытаюсь получить wildcard сертификат с letsencrypt на свой домен в ru зоне через https://github.com/go-acme/lego, домен куплен на reg.ru

При попытке получения сертификатов, проставляются необходимые txt записи, по крайней мере, в лк я их вижу, но дальше все это дело ожидает увидеть их через гугловский nslookup, но вот тот говорит, что таких записей нет, почему такое происходит?

Answer 1

[AUser0]

Гугловский DNS сервер не является авторитативным для вашего домена, и не является источником актуальных данных. Что закешировал - то и отдал.

Таким сервером являются DNS сервера reg.ru, или те DNS сервера, которым reg.ru делегировал домен. Вот у этих серверов TXT запись и спрашивайте, информация будет свежее некуда. Let'sEncrypt делает так же, спрашивает напрямую, по Гуглам и т.д. никто не бегает.

Comments

[akelsey]

Вынужден не согласится, Letsencrypt для dns challenge использует именно Google DNS сервера.
UPD
Могу ошибаться - прям жесткого подтверждения этого не нахожу. Возможно он использует не только гугл, но и какие-то иные. В любом случае только те DNS которым LE доверяет.

[akelsey]

Да я тут не прав в утверждении про "Google DNS", на самом деле список поддерживаемых DNS тут и он довольно велик, так же, как я понял, можно натравить на reg.ru.

[AUser0]

akelsey, Let'sEncrypt не может доверять Google, потому что он ретранслятор, не источник исходных данных! Let'sEncryypt однозначно посылает DNS-запросы именно исходным, оригинальным NS-серверам, указанным для конкретного домена, и точка!

[Alexey Dmitriev]

akelsey, Нет. certbot опрашиваются DNS сервера, авторитативные для зоны.

[Руслан Федосеев]

akelsey, The DNS hosts listed here are ones that are confirmed to support automated certificate issuance and renewal with existing ACME clients
Это список DNS провайдеров, на который certbot умеет сам менять необходимые записи, через их API
А запрашивать данные по домену он будет только с серверов, указанных как NS сервера домена. И никак иначе.

[GeneAYak]

В общем, если честно, я так и не понял, как это работает, в документации к лего написано, что она использует гугловские сервера, если по какой-то причине не может определить авторитативные, но у меня оно всегда их использует, если свои явно не указать, но и это особо ничего не меняет.

В то же время интересно, что если ничего не трогать, и спустя сутки ничего не делания попробовать их получить, оно их получит (или не получит, тут как пойдет), а вот если хоть что-то где-то заранее проверить, то все, записи не найдет, может оно как-то хитро кеширует, но я толкового объяснения не смог найти на просторах интернета

[AUser0]

GeneAYak, согласно документации lego dnshelp этот lego скрипт использует Google-вские и любые другие DNS-ы, что бы найти SOA, то есть DNS-сервера, настроенные как authoritative, то есть авторитетные для проверяемого домена. Именно на этих серверах и должна всё время хранится самая свежая информация о домене, в том числа TXT запись для проверки владения этим доменом. DNS от Google и от других - только начало пути по проверке TXT строки у нужного домена.

Answer 2

[akelsey]

Ждать, провижнинг дело не быстрое (от минуты до 24х часов). Если хочется быстро, то лучше использовать днс от клаудфлер, там это мгновенно.
Проверять же обновление своих записей по миру можно на специальных сервисах, вроде этого: https://www.whatsmydns.net

PS
И да плюс использования с cloudflare совместно с le в том что у letsencrypt есть плагины для доступа к апи cf. И не нужно использовать http для верификации.