O recurso AutoSSL do cPanel é responsável por emitir e renovar automaticamente certificados SSL gratuitos para o seu domínio. Quando o AutoSSL não consegue gerar o certificado, na maioria das vezes o problema está em DNS, Cloudflare ou redirecionamentos, e não em uma falha do servidor.
Neste artigo, apresentamos um checklist prático do que você deve verificar antes de abrir um chamado.
1) O que o AutoSSL precisa para funcionar?
Para emitir o certificado, o AutoSSL precisa:
- Que o domínio esteja ativo (não expirado).
- Que o domínio esteja apontando para o servidor da TurboCloud.
- Que o domínio responda corretamente em HTTP e HTTPS.
- Que não existam regras de DNS ou Cloudflare impedindo a validação.
Se algum desses pontos falhar, o AutoSSL não consegue comprovar que o domínio está realmente hospedado no servidor e a emissão do certificado é negada.
2) Verifique se o domínio está apontando corretamente (DNS)
O primeiro passo é conferir se o domínio realmente aponta para o servidor onde o AutoSSL está sendo executado.
Verifique:
- Se o domínio está com os nameservers corretos.
- Se o registro A do domínio aponta para o IP correto do servidor.
- Se o registro www também está configurado corretamente.
Se o domínio estiver apontando para outro provedor, servidor antigo ou IP incorreto, o AutoSSL não conseguirá validar.
Para mais detalhes sobre como conferir isso, consulte:
Como verificar se o domínio está corretamente apontado (DNS e Cloudflare)
3) Uso de Cloudflare: atenção aos registros, proxy e NS na zona DNS
Quando o domínio utiliza Cloudflare, o gerenciamento do DNS passa a ser feito dentro da plataforma da Cloudflare. Para que o AutoSSL funcione corretamente mesmo com o proxy ativo (nuvem laranja), é fundamental que a zona DNS esteja configurada da forma correta.
Na TurboCloud, uma prática que evita falhas na emissão do SSL é manter os nameservers da TurboCloud cadastrados como registros do tipo NS dentro da zona de DNS da Cloudflare.
Quando os registros NS da TurboCloud estão corretamente configurados na zona DNS da Cloudflare, a validação do AutoSSL ocorre sem erros, mesmo com o proxy ativo, pois o domínio continua respondendo corretamente às verificações realizadas pela autoridade certificadora.
Verifique atentamente os seguintes pontos:
- Os registros NS da TurboCloud estão cadastrados na zona DNS da Cloudflare.
- O registro A do domínio aponta para o IP correto do servidor.
- O registro www está configurado corretamente.
- Não existem registros apontando para IP antigo ou servidor diferente.
- Redirecionamentos configurados na Cloudflare não enviam o domínio para outro local.
Com essa configuração, o AutoSSL consegue validar o domínio corretamente sem a necessidade de desativar o proxy, evitando falhas comuns quando a Cloudflare está ativa.
Caso a emissão ainda falhe em cenários específicos, é possível testar temporariamente o modo DNS only (nuvem cinza) apenas para diagnóstico. Após a emissão do certificado, o proxy pode ser mantido normalmente.
4) Subdomínios, redirecionamentos e apontamentos externos
O AutoSSL tenta emitir certificados não apenas para o domínio principal, mas também para subdomínios configurados na conta.
Fique atento a situações como:
- Subdomínios apontando para outro servidor.
- Redirecionamentos que levam o domínio para um endereço externo.
- Domínios estacionados ou addon apontando para serviços de terceiros.
Se algum desses domínios ou subdomínios não estiver acessível a partir do servidor onde o AutoSSL está rodando, a validação pode falhar para aquele host específico.
Em muitos casos, o certificado é emitido para os domínios válidos, e apenas os que estão apontando para fora permanecem sem SSL.
5) Registros CAA (autorização de certificadora)
O registro CAA é opcional, mas quando existe, ele define quais autoridades certificadoras podem emitir certificados para o domínio.
Se houver um CAA configurado permitindo apenas uma certificadora diferente da utilizada na hospedagem, o AutoSSL não conseguirá emitir o certificado.
Caso você utilize registros CAA, verifique se eles permitem a emissão pela autoridade utilizada no servidor. Em caso de dúvida, remova temporariamente o CAA, aguarde a propagação e tente rodar o AutoSSL novamente.
6) Limites e tentativas recentes de emissão
As autoridades certificadoras possuem limites de emissão por período. Muitas tentativas em sequência, principalmente com erro, podem gerar um bloqueio temporário para aquele domínio.
Nesses casos, mesmo corrigindo o problema, pode ser necessário aguardar algumas horas até que seja possível emitir um novo certificado.
Se você já realizou várias tentativas manuais de AutoSSL em um curto período, aguarde um tempo antes de tentar novamente ou acione o suporte com os detalhes do domínio.
7) Antes de abrir um chamado: checklist rápido
Antes de acionar o suporte, revise:
- O domínio está ativo e não expirado.
- O DNS do domínio está apontando corretamente para o servidor.
- Na Cloudflare, os registros A, www e NS estão corretamente configurados.
- Não há redirecionamentos enviando o tráfego para outro servidor.
- Registros CAA (se existirem) não estão bloqueando a emissão.
- Não houve excesso de tentativas de emissão em pouco tempo.
Com esses pontos ajustados, na maioria dos casos o AutoSSL volta a funcionar normalmente.
Leitura recomendada
Como verificar se o domínio está corretamente apontado (DNS e Cloudflare)
Caso, após seguir este checklist, o AutoSSL continue falhando, nossa equipe de suporte está disponível para analisar o caso em detalhes e orientar o melhor caminho para regularizar o certificado do seu domínio.
