2 月 22 日消息,2 月 18 日,免费证书颁发机构 Let's Encrypt 宣布引入一种新的 ACME 验证类型 ——DNS-PERSIST-01,通过基于 DNS 的持久化授权机制,简化证书签发与续期流程。
该机制基于一份 IETF 草案规范,为广受欢迎的 DNS-01 方法提供了替代方案,但目前仅在其测试环境中提供支持,后续计划于 2026 年第二季度在生产环境中正式上线。
当然,原有的 DNS-01 仍然完全受支持,但 DNS-PERSIST-01 改变了验证过程中证明域名控制权的方式。
在传统的 DNS-01 方法中,每次签发或续期证书时,都需要在_acme-challenge.<域名> 下发布一条新的 TXT 记录。ACME 客户端会添加来自证书颁发机构的一次性 Token,CA 随后通过 DNS 查询进行验证。这种方法每次都能提供全新的 DNS 控制权证明,但也意味着需要不断更新 DNS 记录并等待其生效传播。
DNS-PERSIST-01 则完全改变了这一模式,允许设置永久授权记录。无需每次添加 Token,只需在_validation-persist.<域名> 创建一条持久的 TXT 记录,即可授权特定的 ACME 账户和 CA 为你的域名签发证书。
典型的记录内容包括 CA 的颁发者域名和 ACME 账户 URI。发布后,这条记录可用于后续的新证书签发和续期,无需再每次更新 DNS 记录。
新方法还允许控制授权范围。默认情况下,授权仅覆盖已验证的特定域名,且永久有效。如果添加 policy=wildcard 参数,则可以签发通配符证书(IT之家注:例如 *.example.com),覆盖所有匹配的子域名。
此外,用户还可以通过可选的 persistUntil 参数设置授权的有效期限。这个时间戳标明该记录可用于新验证的截止时间。过期后需要更新或替换记录,因此需留意避免意外失去授权。
值得注意的是,可以同时授权多个证书颁发机构。只需在同一_validation-persist.<域名> 标签下发布多条 TXT 记录,每条记录包含不同 CA 的颁发者域名即可。验证时,每个 CA 只会检查匹配自身标识的记录。