DNS-Persist-01: A New Model for DNS-Based Challenge Validation
9 days ago
- #DNS-PERSIST-01
- #Let’s Encrypt
- #ACME
- Let's Encrypt推出DNS-PERSIST-01,一种用于证书验证的新型ACME挑战类型
- DNS-PERSIST-01通过持久化授权记录取代了DNS-01的临时令牌机制
- 该新方法通过消除频繁的DNS更新和传播延迟,有效降低了运维成本
- 授权绑定特定ACME账户和CA机构,通过限制DNS凭据分发范围提升安全性
- DNS-PERSIST-01支持通配符证书,并通过policy=wildcard等可选参数实现范围控制
- 订阅者可设置persistUntil时间戳来限定授权时长,到期前需更新授权
- 通过在同一DNS标签下发布多个TXT记录,可同时授权多个CA机构
- 该方法已于2025年10月获得CA/浏览器论坛和IETF ACME工作组的标准化认证
- Let's Encrypt的测试CA软件Pebble已支持DNS-PERSIST-01,客户端实现正在开发中
- 计划于2026年第一季度末进行测试环境部署,正式生产环境预计2026年第二季度上线