DNS と SSL の問題のためのカスタムドメイントラブルシューティングチェックリスト

「カスタムドメインが動かない」が通常意味すること

「カスタムドメインが動かない」はいくつかの異なる障害をまとめた表現です。ブラウザには症状が出ますが、原因は別にあります。何かを変更する前に、実際に何が見えているかを言葉にしてください。

典型的な症状には:

• 「ドメインが見つかりません」のページ
• ドメインが別のサイトを読み込む
• HTTPS を有効にしているのに「安全でない」警告が出る
• リダイレクトループ（http と https 間、または root ドメインと www 間で行ったり来たり）

大抵の場合、問題は一つです:

• DNS が間違った場所を指している、または必要なレコードがない
• ホスティング先がそのホスト名を認識していない（サーバーがドメインを認識していない）
• SSL がまだ発行されていない、別のホスト名で発行されている、あるいは DNS が合っていないために発行できない
• キャッシュが変更を隠している（ブラウザキャッシュ、DNS リゾルバのキャッシュ、古い TTL）

トラブルシュートする前に、DNS レコードを編集する場所（レジストラや DNS プロバイダ）と、ホスティング側でドメインを接続する場所の両方にアクセスできることを確認してください。例えば Koder.ai にデプロイしたアプリをカスタムドメインに接続するなら、ドメインの DNS にアクセスでき、かつアプリ側のドメイン設定にもアクセスできる必要があります。

即時に直るもの（タイプミスの修正など）もありますが、時間がかかるものもあります。DNS の変更は反映に時間がかかることがあり、SSL は通常 DNS が正しく向いてドメインに到達できるようになるまで完了しません。目的は推測を止め、各レイヤーを順に確認することです。

知っておくべき小さな DNS 概念（専門用語なし）

多くのドメイン問題は、(1) テストしているホスト名、(2) DNS を管理している場所、(3) 実際にそのレコードが指している先、の不一致に帰着します。これらが揃うと、SSL は通常最後のステップになります。

ドメインにはよく使われる形が二つあります：ルートドメイン（example.com、apex とも呼ばれる）とサブドメイン（www.example.com、app.example.com）。関連はありますが別々の DNS レコードを持てます。したがって www が動くのに apex が失敗する、またはその逆は普通のことです。

ネームサーバーはどこが DNS を管理しているかを決めます。ドメインをある会社で買ったがネームサーバーが別の会社を指している場合、ネームサーバーが指す場所で DNS を編集しなければなりません。「更新したのに何も変わらない」という多くのケースは、間違ったダッシュボードでレコードを編集してしまったために起きます。

平易な言葉での主な DNS レコードの役割

主なレコードタイプの役割は次のとおりです：

• A: 名前を IPv4 アドレス（例: 203.0.113.10）に向ける
• AAAA: 名前を IPv6 アドレスに向ける
• CNAME: 名前を別のホスト名に向ける（www に一般的）
• TXT: 検証やセキュリティのためのテキストを格納する（所有権確認、SPF など）

TTL は「どれくらいの間キャッシュするか」のタイマーです。TTL が低いほどキャッシュの更新が速く、高いほど修正後に反映されるまで長く待つ必要があります。古い値がしばらく見えるのは普通です。

ステップバイステップ：原因を特定する簡単な意思決定ツリー

カスタムドメインが失敗したとき、通常は次の四つのどれかに分類できます：DNS が解決しない、DNS が間違った場所を指している、SSL が準備できていない、あるいは一部の人だけに失敗する（キャッシュのため）。

この意思決定ツリーを使ってください：

1. ドメインは解決しますか？ NXDOMAIN（「ドメインが見つかりません」）が出るなら、レコードがない、間違った DNS ゾーンを編集している、あるいはネームサーバーが思っているものと違う可能性があります。
2. 解決するなら、正しいターゲットを指していますか？ ページが表示されるが別のサイトや駐車ページ、古いサーバーが出るなら、A/AAAA/CNAME のターゲットが間違っているか、古いレコードが優先されている可能性があります。
3. 正しいターゲットを指しているなら、失敗は HTTPS のみですか？ HTTP は動くが HTTPS が証明書警告を出すなら、SSL の発行中、証明書のホスト名が合っていない、またはプラットフォームが DNS の安定を待っている可能性があります。
4. ある機器やネットワークでは動いて他では動かないですか？ その場合はキャッシュや伝播の問題として扱ってください。
5. リダイレクトが壊れていますか（www と apex）？ www が動いて root が動かない（またはその逆）なら、片方だけを設定したか、競合するリダイレクトルールがある可能性が高いです。

失敗している正確なホスト名（apex か www か）と正確なエラーメッセージを書き留めると早く進みます。ドメインと証明書を自動化するホスティングプラットフォームでは、「ホストが見つからない」と「証明書保留中」の違いが、DNS を修正すべきか単に DNS が反映されて SSL を待つべきかを教えてくれます。

ステップ 1: ホスト名と期待ターゲットを確認する

多くのドメイン失敗は単純な不一致から始まります：あるホスト名の DNS を設定したつもりが、別のホスト名をテストしている、というミスです。

まず、公開したい正確なホスト名を書き出してください。ルートドメインは example.com のように見えます。サブドメインは www.example.com や app.example.com のように見えます。これらは別個の DNS エントリなので、www が動くからといって apex が動くとは限りません。

次に、ホスティングプラットフォームが期待するターゲットを確認します。プラットフォームによっては IP アドレス（A または AAAA 用）を示すものもあれば、ターゲットのホスト名（CNAME 用）を示すものもあります。ホストがドメイン設定画面に出す値を信頼できる「正解」と考えてください。

何かを変える前に現在の設定を記録してください。簡潔に：

• 変更するホスト名の現在の DNS レコードをコピーする
• 既存の A、AAAA、CNAME、TXT レコードを記録する
• TTL をメモする

また、正しい DNS ゾーンを編集しているかも確認してください。間違ったドメイン、間違った環境、間違ったプロバイダアカウントを更新してしまうのは簡単です。

ステップ 2: 適切な DNS レコードタイプを選ぶ（A、AAAA、CNAME、TXT）

多くの問題は、接続しようとしているホスト名に対して不適切なレコードタイプを使っているだけです。まずはルートドメイン（example.com）とサブドメイン（www.example.com）の二つのケースを分けて考えてください。DNS プロバイダによって振る舞いが異なることが多いです。

A レコードは名前を IPv4 アドレスに向けます。多くのセットアップでは、apex に対して A レコードを使います（いくつかのプロバイダは apex に CNAME を許可しないため）。ホストが IP を与えているなら A が通常正解です。

AAAA レコードは IPv6 用です。古い方向を指す AAAA が残っていると、訪問者の一部が IPv6 を使い古い先に行き、他は IPv4 で正しい先に行くため、挙動が矛盾することがあります。ホストが IPv6 ターゲットを出していないなら、誤った AAAA を削除すると不整合が解消することが多いです。

CNAME はサブドメインを別のホスト名に向けます（多くの場合 www に使われます）。ホストが名前で終点を指定する場合に便利です。

TXT レコードは検証やチャレンジ（SSL の一部）に使われます。よくある間違いは、TXT を間違った名前（ルートと _acme-challenge や別のサブドメインを取り違える）、余分なスペースを入れる、値を間違えて貼り付ける、などです。

次に、競合がないか確認してください。最もトラブルを起こすのは以下のような状況です：

• 同じ名前に CNAME と他のレコードタイプが混在している
• 1 つだけにするつもりが複数の A または AAAA がある
• www や apex に古いレコードが残っている
• TXT レコードを間違ったホスト名に作っている

ステップ 3: 権威あるネームサーバーを確認して正しい場所を編集する

多くの「カスタムドメインが動かない」ケースはレコード値の問題ではありません。レコードを間違ったプロバイダに追加しているために起きます。もしドメインが Provider A のネームサーバーを使っているのに Provider B のダッシュボードで変更しても、公開される内容は変わりません。

権威あるネームサーバーを確認する

ドメインが実際にどのネームサーバーを使っているかを確認してください。通常はレジストラのドメイン設定の「Nameservers」で見られます。別の確認方法として、コンピュータから直接 DNS に聞くこともできます：

dig NS example.com

そのコマンドが返すネームサーバーが権威あるネームサーバーです。

簡単なチェックリスト：

• DNS ホストが ns1... や ns2... のようなネームサーバーを提供しているなら、その正確な値がレジストラに登録されている必要があります。
• もし最近 DNS プロバイダを切り替えたなら、切り替えが完了してからレコード編集を行ってください。
• プラットフォームが「推奨 DNS レコード」を示している場合、それはガイダンスであり、実際に権威ある DNS プロバイダにそのレコードを追加する必要があります。

「更新したのに何も変わらない」理由

間違ったプロバイダで更新すると、二つの不一致なダッシュボードが存在することがよくあります。公開上は権威あるネームサーバーだけが効くので、そちらを編集していないと何も変わりません。

また、レジストラでネームサーバーを変えた直後は伝播による遅延が発生します。切り替え中はテストする場所によって結果が不安定に見えるので、ネームサーバーセットが安定するまでレコード編集を一時停止してください。

ステップ 4: 実際に役立つ伝播とキャッシュのチェック

「伝播」は単一のスイッチではありません。ISP、携帯回線、パブリックリゾルバ、自分のデバイスといった一連の DNS キャッシュがそれぞれ別々の速度で更新されます。だから同僚のところでは動くが自分では動かない、ということが起きます。

TTL（time to live）はキャッシュが回答を保持する時間を示します。古い TTL が 1 時間なら、修正後もしばらくは古い値を見る人がいるのは普通です。TTL を下げるのは変更前に行っておくと役に立ちます。

キャッシュ遅延と設定ミスを切り分けるために、いくつかの簡単なチェックを行ってください：

• 自宅やオフィスの Wi‑Fi、モバイルデータでそれぞれテストする
• 別のネットワークの人に試してもらう
• プライベートウィンドウを使って（キャッシュされたリダイレクトを除外するため）試す
• デバイスを再起動するか、ローカル DNS キャッシュをフラッシュする
• 正確なホスト名（root と www）を再確認する

もしどこでチェックしてもレコードが間違っている（間違った IP、www がない、古い CNAME）なら修正してください。多くの場所で正しいが一部のネットワークだけ古い値を返すなら、通常はキャッシュ遅延です。

ステップ 5: SSL のタイミングと「少し待つ」が正しい理由

SSL 証明書が失敗する基本的な理由は一つです：証明書発行者がドメインを検証できない、つまり DNS が正しく一貫して正しい場所を指すまで検証できない、という点です。

一般的な手順はシンプルです：

1. 正しい DNS レコードを設定する。
2. それらが複数箇所から正しく解決されるまで待つ。
3. 必要な検証（多くは TXT レコード）を完了する。
4. 証明書発行を完了させる。

見落としやすいブロッカーは簡単です。誤った A や CNAME ターゲットは検証チェックを間違ったサーバーに送ります。古い AAAA が残っていると一部の訪問者は HTTPS で失敗し、他は成功することがあります。必要な TXT が欠けているとプラットフォームは証明書を発行できません。

症状で「発行中」と「設定ミス」を分けられます：

• 発行中の場合： HTTP は動くが HTTPS は一時的なデフォルト証明書や「まだ有効ではない」的なメッセージを表示することがある。
• 設定ミスの場合： 別のウェブサイトが表示される、ISP の駐車ページが出る、または DNS ルックアップが失敗する（NXDOMAIN）などが起きる。

待っている間にレコードを頻繁に切り替えないでください。変更するたびに時計がリセットされ、異なるネットワークで異なる結果が出る「分裂世界」が生まれます。正しいレコードを一度設定したら、DNS の安定と検証を繰り返し確認してから証明書の発行を待ちましょう。

Koder.ai のようなプラットフォームを使っている場合も流れは同じです：DNS が期待するターゲットを指していることを確認し、不要な AAAA を削除し、DNS が安定してから SSL に時間を与えてください。

各ステップを推測せずに検証する方法

良いトラブルシュートは比較が大半です：見えているものと期待するものを比べる。単に「スマホでは開く」と頼るのではなく、再現可能なチェックを使ってください。

期待ターゲットと DNS の回答を比較する

nslookup や dig のような DNS 検索ツールで返ってくる値が意図したもの（A/AAAA なら IP、CNAME ならホスト名、TXT ならトークン）と一致するか確認してください。

# Apex (root) domain
dig example.com A

dig example.com AAAA

# www subdomain
dig www.example.com CNAME

# TXT (often used for verification)
dig example.com TXT

apex（example.com）と www（www.example.com）の両方を確認してください。一方が正しく他方が古い先を指すのはよくあることです。

ブラウザでの挙動を確認する（HTTP、HTTPS、リダイレクト）

apex と www の両方を http:// と https:// で開いて、どちらが正しいホームでどちらがリダイレクトされるべきかを確認します。

• どちらか一方を正規ドメイン（canonical）に決め、もう片方はそこにリダイレクトするようにします。
• ピンポンリダイレクト（A が B にリダイレクトし、B が A にリダイレクトする）を避けます。
• HTTP は動くが HTTPS が失敗するなら、SSL は発行中か DNS が期待通りに向いていない可能性があります。

ネットワークによって結果が異なるなら、キャッシュや伝播の影響です。小さなログ（何をいつ変更したか、どこで何を観察したか）を付けておくと原因特定が速くなります。

時間を浪費させるよくあるミス

多くの DNS と SSL の問題は謎ではありません。小さなミスの連続で、間違ったものを調べ続けたり、頻繁に変更して状況を混乱させたりしてしまいます。

最も多い時間の無駄は、二箇所で DNS を編集してしまうことです。これはネームサーバーを切り替えた後によく起きます：レジストラ側でレコードを更新しても DNS が別の場所でホストされていると公開には反映されません。見た目は正しいが実際は効かない、という状況になります。

もう一つの古典的なミスは、apex に CNAME を置こうとして DNS プロバイダがそれをサポートしていない場合です。その場合は A レコード、あるいはプロバイダが提供する ALIAS / ANAME スタイルのレコードが必要です。

IPv6 も厄介です。古い AAAA が残っていると一部の訪問者は間違ったサーバーへ行きます。

「念のため」に残した複数の A レコードも注意が必要です。誤ったターゲットが含まれると意図しない負荷分散のようになり、特にホストされたアプリへ向けると問題になります。

最後のルール：時計をリセットしないでください。

• 数分おきにレコードを変更しない。
• 古いターゲットと新しいターゲットを同時に混ぜない。
• キャッシュが落ち着くまで待ってから結果を判断する。

小さく落ち着いた変更のほうが頻繁な微調整よりうまくいきます。

現実的な例：www は動くがルートドメインは動かない

新しいアプリを公開して example.com と www.example.com をセットアップしたとします。数分後、www.example.com は正しく読み込まれるがルートドメインは DNS エラーを返す、古いサイトを読み込む、または HTTPS が保留中のままになる、というパターンはよくあります。原因はたいてい小さなものです。

まず地味な問いから始めてください：正しい場所で DNS を編集していますか？ ドメインがある会社で登録されていても DNS は別の会社で管理されていることがあります。ネームサーバーをまず確認し、そのネームサーバーが指すプロバイダの DNS パネルを開いて編集してください。

次に二つのホスト名を比較してください。www は通常 CNAME です。ルートドメインは扱いが難しく、多くのプロバイダは apex に CNAME を許さないので、IP への A レコード、または ALIAS/ANAME タイプのレコードが必要になることがあります。

実務的な決定フロー：

• ネームサーバーが間違っているならまずそれを直す。
• ネームサーバーが正しいが example.com にレコードがない（または別の場所を指している）なら apex のレコードを修正する。
• レコードは正しいがデバイスやネットワークで挙動が異なるなら、伝播とキャッシュを待ちつつキャッシュをクリアする。
• DNS は解決するが HTTPS が失敗しているなら、DNS が安定した後に SSL 発行を待つ。

最終的に目指す状態は地味で確実です：example.com と www.example.com の両方が同じアプリに繋がり、片方が正規（もう片方はリダイレクト）になり、HTTPS が有効であること。

5 分で実行できるクイックチェックリスト

ドメイン設定が失敗したとき、多くの修正は数分でできるチェックから見つかります。何かを変更する前にこれらを実行してください。

• 正しい場所で DNS を編集しているか確認する（ダッシュボードのネームサーバーとドメインの権威あるネームサーバーを突き合わせる）。
• ホスト名とターゲットが正確か確認する（サブドメインの欠落や余分なドットに注意）。ホストが期待するレコードタイプ（A、AAAA、CNAME、TXT）と一致するかを比較する。
• 競合を取り除く（同じ名前に CNAME と他のレコードが混在していないか、不要な古い A/AAAA を削除する）。
• 2 つの視点（モバイルデータと Wi‑Fi）から確認する。片方だけ動くならキャッシュや伝播の可能性が高い。
• TTL を尊重する。TTL が 300 秒なら判定は 5–10 分待つ。TTL が 3600 秒ならおよそ 1 時間を見込む。

DNS が明らかに正しくなってから SSL を確認してください。多くのプラットフォームはドメインが一貫して期待先を指した後でしか証明書を発行しません。早すぎる確認は正常な遅延を誤ってエラーと見なす原因になります。

Koder.ai にカスタムドメインを追加する場合は、ドメイン設定画面の期待ターゲットを基準に、権威あるプロバイダで DNS を一致させ、伝播の時間を置いてから SSL 状態を再確認してください。

次のステップ：毎回同じ手順でドメイン設定できるようにする

DNS と SSL のミスを繰り返さない最速の方法は、各プロジェクトに短い「ドメインセットアップノート」を残すことです。次回のローンチではそれをコピーすれば手順が再現できます。

シンプルなドメインセットアップノートのテンプレート

プロジェクトのドキュメントに保存し、DNS を触る前に記入してください：

• ドメインとホスト名（root、www、その他サブドメイン）
• 期待するレコードタイプとターゲット（A、CNAME、TXT）とその出所
• DNS を編集する場所（どのプロバイダか）とアクティブなネームサーバー
• SSL に関する期待（誰が発行するか、準備完了はどう見えるか）
• 実行する検証手順（使うツールと期待結果）

ローンチ中は一人を DNS の責任者にしてください。DNS は二人が同時に「直す」ときに最も壊れます（例：一人がネームサーバーを変えている間に別の人がレコードを編集する、など）。

ホスティング側では安全に戻せる手順を用意してください。プラットフォームがスナップショットやロールバックをサポートしているなら、ルーティングを変更する前にスナップショットを取っておくと素早く既知の正常状態に戻せます。Koder.ai を利用する場合は、Planning Mode でドメイン手順を書き、順に適用し、本番が壊れたらロールバックできます。

エスカレーションすべき時（と相手）

DNS が正しいことを確認しても問題が続くなら、証拠を添えてエスカレーションしてください：

• レジストラがネームサーバーをロックしている、または変更できない
• 期待した TTL ウィンドウの後でも DNS 編集がどこにも反映されない
• DNS が正しく解決しているのに SSL が長時間失敗する（分ではなく数時間単位）
• 削除できない競合レコードがある（プロバイダの UI バグや分裂 DNS）

エスカレーション時にはホスト名、期待するレコード、現在のリゾルバ結果、タイムスタンプを添えてください。これにより遅いやり取りが素早い修正に変わります。