Решение проблемы с GitHub Actions и Let's Encrypt

ВчераВчера

~1 мин

🔥 Пинговал GHA из-за невалидных Let's Encrypt сертификатов, хотя по всем фронтам они были свежими и рабочими. → Ключевая засада: GHA может жёстко кешировать старые DNS-записи дольше, чем Let's Encrypt их обновляет. То есть, LE уже выдал новый серт, а GHA всё ещё смотрит на старый DNS и ругается. → Диагностика: обычные `dig` или `nslookup` на локалке могут показывать корректные данные, что сбивает с толку. Надо было копать глубже, чтобы понять, какие DNS-записи видит GHA. Автор кейса буквально пробивал DNS вручную с разных точек, чтобы понять расхождения. → Рабочий хак: ждём, пока GHA обновит свой внутренний кеш DNS. Это может занять от нескольких часов до суток, что для CI/CD жутко долго. Приходилось иногда руками пробивать актуальный статус, ускоряя процесс. → Итог: если GHA капризничает по поводу LE сертификата, всегда перепроверяй DNS-кеш GHA. Чаще всего проблема именно в залипших записях, а не в самом сертификате.

Решение проблемы с GitHub Actions и Let's Encrypt 🔥

Пинговал GHA из-за невалидных Let's Encrypt сертификатов, хотя по всем фронтам они были свежими и рабочими.

→ Ключевая засада: GHA может жёстко кешировать старые DNS-записи дольше, чем Let's Encrypt их обновляет. То есть, LE уже выдал новый серт, а GHA всё ещё смотрит на старый DNS и ругается.

→ Диагностика: обычные `dig` или `nslookup` на локалке могут показывать корректные данные, что сбивает с толку. Надо было копать глубже, чтобы понять, какие DNS-записи видит GHA. Автор кейса буквально пробивал DNS вручную с разных точек, чтобы понять расхождения.

→ Рабочий хак: ждём, пока GHA обновит свой внутренний кеш DNS. Это может занять от нескольких часов до суток, что для CI/CD жутко долго. Приходилось иногда руками пробивать актуальный статус, ускоряя процесс.

→ Итог: если GHA капризничает по поводу LE сертификата, всегда перепроверяй DNS-кеш GHA. Чаще всего проблема именно в залипших записях, а не в самом сертификате.