Deepthix .
← Retour au blog
tech 6 mai 2026

Un certificat Caddy expiré à cause d'un problème avec systemd-resolved

Lorsque la gestion des certificats automatisée échoue, il est essentiel de comprendre les raisons derrière ces échecs. Explorons un cas concret où une défaillance de systemd-resolved a conduit à l'expiration d'un certificat Caddy.

Article inspiré de la source originale
A Caddy Cert Expired Because systemd-resolved Was Selectively Broken ↗ rant.mvh.dev

Introduction

Dans l'écosystème technologique actuel, l'automatisation est reine. Mais que se passe-t-il lorsque quelque chose ne fonctionne pas comme prévu ? C'est ce qui est arrivé avec l'expiration d'un certificat Caddy, causée par une défaillance de systemd-resolved. Cet article explore comment une configuration DNS incorrecte peut mener à l'échec du renouvellement automatique des certificats.

Le Contexte

Tout a commencé un dimanche soir, quand des alertes ont signalé que le certificat du serveur Matrix avait expiré. Le certificat était supposé être renouvelé automatiquement par Caddy, utilisant un challenge DNS-01 de Cloudflare pour renouveler les certificats Let’s Encrypt. Cependant, quelque chose n'a pas fonctionné comme prévu.

Enquête sur la Cause

Première étape, vérifier les conteneurs Docker. Tous les services étaient opérationnels. Le problème résidait clairement au niveau du renouvellement du certificat TLS. En examinant les logs de Caddy, il est apparu que le renouvellement échouait en raison d'un problème DNS.

La Racine du Problème : systemd-resolved

C'est ici que systemd-resolved entre en jeu. Ce service est responsable de la résolution DNS et, dans ce cas, il échouait sélectivement pour certaines requêtes. Ce dysfonctionnement a conduit à une erreur SERVFAIL sur une zone DNS spécifique, empêchant le renouvellement du certificat.

Solution et Prévention

La solution a été de reconfigurer systemd-resolved pour s'assurer que toutes les requêtes DNS nécessaires étaient correctement résolues. Cela a impliqué la vérification des configurations DNS et la garantie que le chemin de résolution était valide. De plus, il est crucial de surveiller activement les renouvellements de certificats pour éviter de telles surprises.

Conclusion

Cet incident souligne l'importance de comprendre les dépendances critiques dans un système automatisé. Une configuration défaillante peut avoir des impacts significatifs, comme l'interruption de la fédération de serveurs Matrix. Les équipes doivent être vigilantes et prêtes à intervenir rapidement.

_Disctuons de ton projet en 15 minutes._

Caddy systemd-resolved DNS automation certificate renewal
Newsletter Deepthix · 100% IA · chaque lundi 8h

Un agent IA lit la tech à ta place.

Notre agent IA scanne ~200 sources par semaine et te livre les meilleurs articles le lundi 8h. Gratuit. 1 clic pour se désinscrire.

Voir la page newsletter →

Tu veux automatiser tes opérations ?

Discutons de ton projet en 15 minutes.

Réserver un call