SSL证书的域名验证时，为什么有时域名DNS解析验证不通过

2026-04-09

SSL证书的域名验证时，添加了域名DNS解析但一直验证不通过会是什么原因？

首先需要检查DNS解析是否真的添加成功，在等待CA机构验证前，你自己可以先确认记录是否已公开。

Windows 用户：打开 CMD，输入 nslookup -q=txt yourdomain.com。
Mac/Linux 用户：打开终端，输入 dig txt yourdomain.com。

如果查不到自己的解析，那说明解析没生效。

以TXT解析为例，域名解析不通过通常由以下几个常见原因导致：

原因一、解析记录冲突（最常见原因）。

域名可能存在相同主机值的CNAME解析。

在 DNS 协议中，同一个主机记录（Host）如果设置了 CNAME，往往会导致 TXT 记录被忽略或失效。

解决方法：检查存在的cname解析记录，找到相同主机记录值的解析，临时暂停cname解析，等完成签发后再启用。

注意，一般域名的cname解析需要时刻保持生效，对于重要的网站，不建议进行以上操作。碰到解析冲突，最好更换验证方式，比如邮箱验证。

原因二、TXT 记录填写错误。

如果你验证 example.com，主机记录应填 @ 或留空。

如果你验证子域名，比如www.example.com，主机记录应填 www。

而记录值应该填写完整，检查复制的过程中是否出现前后空格、缺漏等，检查是否误用了双引号（部分服务商会自动加引号，手动再加会导致失效）。

原因三、DNS 缓存与生效时间。

生效延迟：虽然很多服务商秒生效，但部分CA机构的验证服务器可能还没刷到你的新记录。通常建议等待 10-30 分钟。

TTL 设置：如果 TTL 设置得很高（如 3600 秒），生效会更慢。建议调低至 600 或更小。

原因四、验证路径不匹配。

一般的证书CA机构都提供了三种验证方式（DNS, Email, HTTP）。
请确认你在申请后台选择的是 DNS 验证。如果你后台选的是 Email 验证，你加再多 DNS 记录也是没用的。

特别提醒：
SSL 证书验证过程本身是基于 DNS 或文件路径的，与你网站当前是 HTTP 还是 HTTPS 协议无关。即便网站现在是 HTTP，只要 DNS 记录对，验证就能通过。