免费证书颁发机构 Let's Encrypt 近日宣布推出一项创新举措——引入全新的 ACME 验证类型 DNS-PERSIST-01。这一机制基于 IETF 草案规范,旨在通过基于 DNS 的持久化授权方式,为证书签发与续期流程带来更高效的解决方案。目前该功能仅在其测试环境中开放,预计将于 2026 年第二季度正式投入生产环境使用。
传统 DNS-01 方法作为当前主流的验证方式,要求用户在每次签发或续期证书时,在 _acme-challenge. 子域下创建一条新的 TXT 记录。该记录需包含由 ACME 客户端生成、证书颁发机构(CA)提供的一次性 Token,CA 通过查询 DNS 记录完成验证。虽然这种方法能确保每次验证的独立性,但频繁更新记录和等待 DNS 传播的过程增加了操作复杂度。
DNS-PERSIST-01 的出现彻底改变了这一模式。用户只需在 _validation-persist. 子域下创建一条持久的 TXT 记录,即可永久授权特定 ACME 账户和 CA 为域名签发证书。这条记录通常包含 CA 的颁发者域名和 ACME 账户 URI,发布后无需重复更新,即可支持后续所有证书的签发与续期操作。
对于需要同时使用多个证书颁发机构的场景,DNS-PERSIST-01 提供了更便捷的解决方案。用户可在同一 _validation-persist. 子域下发布多条 TXT 记录,每条记录对应不同 CA 的颁发者域名。验证时,各 CA 仅会检查与自身标识匹配的记录,确保多机构共存时的验证准确性。尽管原有 DNS-01 方法仍被完全支持,但 DNS-PERSIST-01 的推出为域名所有者提供了更高效、灵活的验证选择。
