プログラマーのメモ書き

伊勢在住のプログラマーが気になることを気ままにメモったブログです

Netlify でホストしているサイトの証明書の更新に失敗

netlify DNS

先日、 netlify から下記のようなメールが届きました。

SSL 証明書の更新に失敗したということのようです。

森ソフトのサイトnetlify でホストしています。で、もう結構長い間安定して運用していて、証明書関連のトラブルも特になったのでちょっと意外です。

このトラブルに対応した話を一応メモっておきます。

原因の確認

まずは、念のため netlify の設定画面で確認してみると

と表示されています。メールの内容と同じですね。失敗した理由として

missing domains mori-soft.com

となってます。

netlify の設定を行ったのはずいぶんと前だったので、当時のブログ記事を読み返して思い出してみます。2018 年に作業したようですね。ずいぶんと前のことでしたが、一応、なんとなくなにやったか思い出せますね。

これを参考にしていまの設定内容を確認していくと、あれ? mori-soft.com ( APEX ドメイン)の DNS レコードが netlify のロードバランサ―に向いてなくて、さくらインターネットのサーバーそのものを指していますね。

どういうことだっけ?何かの時にDNSレコード触ったっけ?

さくらの DNS だとある程度の過去のゾーン情報も追いかけられるので、一番古い 2024 年 5 月 16 日 を表示してみると、その時点で既にさくらインターネットのサーバーを指してますね。

Let's Encrypt の証明書の有効期限は 3 ヶ月ということなので、前回の更新は 2025 年 11 月頃に行っていると思われます(上記の画面もそうなってますね)。すくなくともこの一年近くは証明書の更新に関して何も言われなかったんだけど、なんでなんだろうか?

ちなみに、ちょっと調べると

Certificate renewal incomplete - Support - Netlify Support Forums

のような記事も見つかったので、最近、証明書の更新処理で何か変更が入った可能性もありますね。

修正

さて、DNS レコードが書き換えられた(自分で戻した?)理由はわかりませんが、そうはいっても、このままだと証明書の更新ができなくて困るので改めて設定しなおします。

作業前に念のため現在の Netlify のドキュメントを確認します。これが一番具体的ですかね。

Configure external DNS for a custom domain | Netlify Docs

いまも www を netlify でホストする時は APEX ドメインが netlify のロードバランサ―を指すように設定するとありますね。 では、早速やってみます。

さくらインターネットのDNSの管理画面を開いて、ゾーン情報の編集を選択しておきます。修正後はこんな感じになります。

なお、netlify でホストすると netlify のサブドメインが割り当てられるのですが、このサブドメインが netlify.com から netlify.app に変わったようなので、これも合わせて変更しておきます。

のように www の CNAME レコードを修正しました。

確認

手元の環境で dig mori-soft.com を引いたらロードバランサ―のアドレスが表示されるまでしばらく待ちます。

mor@DESKTOP-DE7IL4F:~$ dig mori-soft.com

; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> mori-soft.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37472
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;mori-soft.com.                 IN      A

;; ANSWER SECTION:
mori-soft.com.          3600    IN      A       75.2.60.5

;; Query time: 40 msec
;; SERVER: 10.255.255.254#53(10.255.255.254) (UDP)
;; WHEN: Mon Jan 19 11:45:11 JST 2026
;; MSG SIZE  rcvd: 58

mor@DESKTOP-DE7IL4F:~$

こんな感じで無事に表示されるようになったら、さきほどの netlify のコンソール画面に戻って Renew Certificate を実行します。

最初は実行後も画面に変化がないのでちょっと不安でしたが、リロードしたらちゃんとこんな感じに表示されて、更新できたことが確認できました。

まとめ

にしても、 DNS レコードの件は謎ですね。ひとつありそうなのが、 2024 年の 2 月頃に DKIM/DMARC の設定を行っています。この作業はDNS の書き換えが発生するので、ひょっとしたら、さくらインターネット側で A レコードの内容を書き戻した可能性もありそうです。さくらインターネットのコンパネからメールの設定を変更すると振り分け設定が無効になったという過去の経験からの推測ですが。

もっとも、いまとなっては確かめようもありませんが。

なんにせよ、最近 netlify で証明書が更新できないといわれた方はご参考にしてみてください。