一次配置长期有效：Let's Encrypt 推出 DNS-PERSIST-01，实现持久化 DNS 验证

东苑

2 月 18 日，免费证书颁发机构 Let's Encrypt 宣布引入一种新的 ACME 验证类型 ——DNS-PERSIST-01，通过基于 DNS 的持久化授权机制，简化证书签发与续期流程。

该机制基于一份 IETF 草案规范，为广受欢迎的 DNS-01 方法提供了替代方案，但目前仅在其测试环境中提供支持，后续计划于 2026 年第二季度在生产环境中正式上线。



当然，原有的 DNS-01 仍然完全受支持，但 DNS-PERSIST-01 改变了验证过程中证明域名控制权的方式。

在传统的 DNS-01 方法中，每次签发或续期证书时，都需要在_acme-challenge.<域名> 下发布一条新的 TXT 记录。ACME 客户端会添加来自证书颁发机构的一次性 Token，CA 随后通过 DNS 查询进行验证。这种方法每次都能提供全新的 DNS 控制权证明，但也意味着需要不断更新 DNS 记录并等待其生效传播。

DNS-PERSIST-01 则完全改变了这一模式，允许设置永久授权记录。无需每次添加 Token，只需在_validation-persist.<域名> 创建一条持久的 TXT 记录，即可授权特定的 ACME 账户和 CA 为你的域名签发证书。

典型的记录内容包括 CA 的颁发者域名和 ACME 账户 URI。发布后，这条记录可用于后续的新证书签发和续期，无需再每次更新 DNS 记录。

新方法还允许控制授权范围。默认情况下，授权仅覆盖已验证的特定域名，且永久有效。如果添加 policy=wildcard 参数，则可以签发通配符证书（IT之家注：例如 *.example.com），覆盖所有匹配的子域名。

此外，用户还可以通过可选的 persistUntil 参数设置授权的有效期限。这个时间戳标明该记录可用于新验证的截止时间。过期后需要更新或替换记录，因此需留意避免意外失去授权。

值得注意的是，可以同时授权多个证书颁发机构。只需在同一_validation-persist.<域名> 标签下发布多条 TXT 记录，每条记录包含不同 CA 的颁发者域名即可。验证时，每个 CA 只会检查匹配自身标识的记录。

wing6

感谢分享！

13367772800

13367772800

13367772800

大米粥13

学习了，感谢分享新闻。

hurric

感谢分享！