Knowledge Base

Ловля момента отдачи DNS после переключения

Что значит "момент отдачи"

Категория: DNS · Риск: high

Что значит "момент отдачи"

При DNS-миграции есть несколько разных состояний:

| Уровень | Что показывает | |---------|----------------| | DNS-панель | Что вы настроили у провайдера | | Авторитативный NS | Что новый DNS-сервер уже отдаёт напрямую | | TLD-делегация | Какие NS реестр считает актуальными | | Recursive resolver | Что видит пользователь через кэш 8.8.8.8, 1.1.1.1 или ISP |

Момент отдачи для пользователя наступает только на уровне recursive resolver. Для сертификата HTTP-01 важно, что ACME-сервер тоже увидит новый IP.

Практический watch-цикл

Linux:

while true; do
  date -Is
  dig example.com A @8.8.8.8 +short
  dig example.com A @1.1.1.1 +short
  dig @ns1.provider.example example.com A +short
  sleep 60
done

PowerShell:

while ($true) {
  Get-Date -Format o
  Resolve-DnsName example.com -Type A -Server 8.8.8.8
  Resolve-DnsName example.com -Type A -Server 1.1.1.1
  Start-Sleep -Seconds 60
}

Когда выпускать TLS

Для Let's Encrypt HTTP-01 домен должен публично указывать на сервер, где открыт порт 80 и настроен правильный virtual host. Если DNS ещё частично старый, выпуск может падать нестабильно.

Для wildcard-сертификатов или миграций без открытого 80 используйте DNS-01 challenge, но не забывайте удалить временные TXT-записи после выпуска.