证书被拒:Certificate Transparency 日志不匹配 —— 排查指南
Chrome 拒绝一张本来有效的证书,报 NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED。证书签了但没进 CT log,或者 SCT 损坏。
🌐 域名、DNS 与 SSL 问题
DNS 传播、SSL 延迟、www vs root、CNAME 错配、换域名后 canonical / sitemap / RSS 旧域名、双域名收录、平台差异。
"我改了 DNS,但网站还是打不开"是建站新手最常喊救命的问题。 这里专注域名 / DNS / SSL:A vs CNAME 选错、根域名 vs www 没统一、SSL 证书没发完、DNS 传播没完成、托管平台域名绑定失败、邮箱 MX 记录被覆盖、HTTPS 没强制、Search Console 资源对不上、canonical / sitemap / RSS / OG 仍用旧域名、Vercel / Firebase 自定义域名差异、旧部署 URL 仍在搜索结果。 与 Indie Dev / Domains DNS SSL、Firebase Hosting、Vercel Hosting 三个 Hub 做了强内链。每篇都给一条"5 分钟内可执行"的检查清单。
常见问题
- DNS 改了但站点还是打不开 TTL / 缓存 / 多 DNS resolver 校验。
- SSL 证书还在 pending CNAME / CAA / 平台验证。
- 根域名 vs www 混乱 选一个为 canonical 并 301 另一个。
- CNAME 记录写错了 根域名不能用 CNAME;用 A 或 ALIAS。
- 域名指向了错的托管商 检查 Name Server / A 记录归属。
- 换域名后重定向全坏了 301 必须按 URL 模式映射。
- HTTPS 没强制 HSTS + 平台 force HTTPS + canonical https。
- 换域名后 Search Console 资源对不上 新建 Domain property,迁移旧资源。
- Canonical 仍指向旧域名 模板里的 site URL 没改。
- 同一个站点被收录多次 http / https / www / non-www 都被收录。
- 站点时而能开时而不能 DNS 多记录 / CDN 缓存 / 平台 propagation。
- 同一域名在 Vercel 工作但 Firebase 不行 两边都验证 / 证书发放策略不同。
- www 和 non-www 都能独立打开 没强制 301 + canonical 没统一。
- Sitemap 仍引用旧域名 Astro / Next 配置的 site URL 没改。
- RSS / OG URL 仍是占位域名 常见于 starter template。
- 搜索结果出现旧部署 URL Vercel preview / Firebase web app URL 被收录。
- CAA 记录阻挡 SSL 证书签发 dig caa 检查;加 / 删 CAA 让对应 CA 可签。
- 通配 DNS 不命中三级子域 通配仅 1 层;深层子域需单独通配或显式记录。
本主题文章
Cloudflare 橙云灰云搞反,站点立刻挂 —— 排查与修复
Cloudflare DNS 那个橙云图标决定流量走 CDN 边缘还是直连源站。切错状态会以微妙的方式弄断 SSL、WebSocket、apex CNAME。
开启 DNSSEC 后 SERVFAIL:信任链断了 —— 排查与修复
你在注册商打开 DNSSEC,公网验证型解析器(8.8.8.8 / 1.1.1.1)开始返回 SERVFAIL。注册商处的 DS 和权威 NS 的 DNSKEY 对不上,信任链断了。
HSTS preload 进了就出不来:站点被锁死在 HTTPS
你提交了 HSTS preload 然后想回滚。浏览器还会强制 HTTPS 好几年。看清原理,了解仅有的有限恢复路径。
IPv6 用户打不开站点:AAAA 记录缺失或挂了 —— 完整排查
IPv4 用户正常,IPv6 用户全部超时。要么 AAAA 没配、要么指向死地址、要么源站防火墙挡 v6。双栈连通性排查。
子域 NS 委派挂了:缺 Glue 记录 —— 排查与修复
你把子域委派给它自己的 NS,但解析间歇性失败。NS 目标主机名在被委派子区内的话,父区需要 glue A/AAAA 记录。
证书续签自动化静默挂了,站点现在不受信任 —— 完整修复指南
Certbot / 平台自动续签几个月前就坏了,没人发现。直到浏览器弹 NET::ERR_CERT_DATE_INVALID。查清续签为什么挂,把 cron 修回来。
Name Server vs DNS 记录——到底在哪里改
2026 最新:新手分不清 name server(NS)与具体 DNS 记录(A / CNAME)——改一个不懂另一个,调几小时。
浏览器 SSL Mixed Content 警告
站点是 HTTPS 但浏览器显示 "Not fully secure"——HTTPS 页加载了 HTTP 资源。
TTL 太高让 DNS 变更变慢:2 个原因 + 修复路径
改了 DNS 却要 24h+ 才传播——改之前先降 TTL 让传播可预测。
MX 记录被覆盖——邮件断了
DNS 改了什么之后邮件停止工作。常见原因:没先导出 MX 就迁 DNS;用了"set defaults"清空了 MX;提供商为他们自家邮件产品自动改 MX。先做:止血:找邮件提供商需要的 MX(Google Workspace / M365 / Zoho 都有文档)。
子域名不解析——blog.example.com 打不开
配了子域名但不解析到你的站。常见原因:子域名没 CNAME / A;CNAME 指向不接受此子域名的主机;通配符 / catch-all 没设。先做:验 DNS:`dig blog.example.com` 返回预期目标。