免費證書頒發機構 Let's Encrypt 近日宣布推出一項創新舉措——引入全新的 ACME 驗證類型 DNS-PERSIST-01。這一機制基于 IETF 草案規范,旨在通過基于 DNS 的持久化授權方式,為證書簽發與續期流程帶來更高效的解決方案。目前該功能僅在其測試環境中開放,預計將于 2026 年第二季度正式投入生產環境使用。
傳統 DNS-01 方法作為當前主流的驗證方式,要求用戶在每次簽發或續期證書時,在 _acme-challenge. 子域下創建一條新的 TXT 記錄。該記錄需包含由 ACME 客戶端生成、證書頒發機構(CA)提供的一次性 Token,CA 通過查詢 DNS 記錄完成驗證。雖然這種方法能確保每次驗證的獨立性,但頻繁更新記錄和等待 DNS 傳播的過程增加了操作復雜度。
DNS-PERSIST-01 的出現徹底改變了這一模式。用戶只需在 _validation-persist. 子域下創建一條持久的 TXT 記錄,即可永久授權特定 ACME 賬戶和 CA 為域名簽發證書。這條記錄通常包含 CA 的頒發者域名和 ACME 賬戶 URI,發布后無需重復更新,即可支持后續所有證書的簽發與續期操作。
對于需要同時使用多個證書頒發機構的場景,DNS-PERSIST-01 提供了更便捷的解決方案。用戶可在同一 _validation-persist. 子域下發布多條 TXT 記錄,每條記錄對應不同 CA 的頒發者域名。驗證時,各 CA 僅會檢查與自身標識匹配的記錄,確保多機構共存時的驗證準確性。盡管原有 DNS-01 方法仍被完全支持,但 DNS-PERSIST-01 的推出為域名所有者提供了更高效、靈活的驗證選擇。
