Расследование: Почему Let's Encrypt не видит TXT-запись? Детективная история с wildcard-сертификатами на DNS Selectel

[riv9231]

РКН непричём? Удивительно!

[WinLin2]

При использовании yandex-dns выдавались ошибки от 40 минут ожидания. Сейчас использую иностранный dns, но не google, и уже через 2 минуты стабильно создаются записи.

[litos]

LE проверяя запись ведь идёт напрямую на NS сервера на которые деленирован домен? Видимо не может подключиться к ним или как-то ещё ограничен?

[lehha]

В похожем случае у нас все DNS-запросы перехватывал провайдер мегафон и отвечал из кэша, хотя TTL был минимальный. То есть если аплинк у сервера был через сеть мегафона, то неважно какой резолвер локально прописать, его запросы перехватывал провайдер и подставлял свои ответы (в большинстве случаев правильные, но если ttl маленький, то уже устаревшие ответы). Эта хрень тянется уже несколько лет.

Выходы: туннель в другую сеть, либо doh.

[outlingo]

Гипотеза 5 - у вас в зоне стоит negative TTL 1800 - то есть 30 минут. Достаточно сделать запрос, получить негативный ответ - и после этого кэширующий ресолвер который вам ответил негативом, будет еще 30 минут отдавать закэшированный "данных не найдено"

[AlexGluck]

Кеши зон (множественное число) тоже хотел предложить, но ещё вариант что перед кластером днс стоит дополнительный кеш днс у селектела и настроен он некорректно, чтобы снизить нагрузку и на кластер, и на кешеры.

[q2digger]

Я на прошлой неделе имел аналогичный геморрой вообще не в РФ, просто несколько дней приседал по разному - запись в днс зоне появилась , прямые запросы ксерверам провайдера ее показывают, а LE не отрабатывает. При этом, действительно, гугл и клаудфлэр через раз возвращали старую запись. Обновилось в итоге в ночи, я так и не понял что это было.

Домен узбекский, провайдер тоже узбекский.