Let’s Encrypt представляет DNS-PERSIST-01 для постоянной проверки DNS с помощью ACME
Let’s Encrypt теперь поддерживает новый тип запроса ACME под названием DNS-PERSIST-01. Этот метод использует модель авторизации на основе постоянного DNS, что упрощает выдачу и продление сертификатов и сокращает время их обработки.
Этот новый метод (основанный на проекте IETF) является альтернативой популярному методу DNS-01. Конечно, DNS-01 по-прежнему полностью поддерживается, но DNS-PERSIST-01 меняет подход к подтверждению контроля над доменом во время проверки. Вот как это работает.
При использовании DNS-01 вам нужно публиковать новую запись TXT в разделе _acme-challenge.<domain> каждый раз, когда вы выдаете или продлеваете сертификат. Клиент ACME добавляет одноразовый токен от центра сертификации, который центр проверяет с помощью DNS-запросов. Такой подход позволяет каждый раз получать новое подтверждение контроля над DNS, но при этом вам придется постоянно обновлять DNS-записи и ждать, пока они распространятся.
DNS-PERSIST-01 решает эту проблему, позволяя настроить постоянную запись авторизации. Вместо того чтобы каждый раз добавлять новый токен, вы создаете постоянную запись TXT по адресу _validation-persist.<domain>, которая позволяет определенной учетной записи ACME и центру сертификации выдавать сертификаты для вашего домена.
В обычной записи указывается домен-эмитент центра сертификации и URI учетной записи ACME. После публикации записи ее можно использовать для новых сертификатов и их продления, поэтому вам больше не придется каждый раз обновлять DNS-записи.
Этот новый метод также позволяет контролировать область действия авторизации. По умолчанию она распространяется только на указанный вами домен и действует бессрочно. Если вы добавите параметр policy=wildcard, то сможете выдавать сертификаты с подстановочными знаками, например *.example.com и охватить все соответствующие поддомены.
Кроме того, вы можете добавить необязательный параметр persistUntil, чтобы указать срок действия авторизации. Эта временная метка показывает, как долго запись может использоваться для новых проверок. По истечении срока действия вам нужно будет обновить или заменить запись, поэтому следите за этим параметром, чтобы случайно не потерять авторизацию.
Наконец, стоит отметить, что вы можете одновременно авторизовать несколько центров сертификации. Для этого опубликуйте несколько записей TXT с одинаковым тегом _validation-persist.<domain>, в каждой из которых будет указано доменное имя эмитента центра сертификации. При проверке каждый центр сертификации проверяет только те записи, которые соответствуют его идентификатору.
Чтобы узнать больше, ознакомьтесь с официальным объявлением.
Выводы
Новый тип проверки домена DNS-PERSIST-01, представленный организацией Let’s Encrypt, радикально упрощает выпуск и продление TLS-сертификатов через ACME. Вместо постоянного добавления временных TXT-записей (как в DNS-01) администратор один раз размещает постоянную авторизационную запись, связанную с конкретным ACME-аккаунтом и центром сертификации.
Главные итоги:
- Снижение операционной нагрузки. После первичной настройки DNS больше не нужно менять записи при каждом выпуске или продлении сертификата.
- Ускорение выпуска сертификатов. Отсутствует ожидание распространения DNS — проверка проходит мгновенно по уже существующей записи.
- Повышенная безопасность инфраструктуры. Нет необходимости хранить DNS-учётные данные во множестве систем автоматизации; ключевым становится защита ACME-аккаунта.
- Гибкое управление областью действия. Можно ограничить авторизацию конкретным доменом, разрешить wildcard-сертификаты или задать срок действия через параметры политики.
- Особая ценность для крупных и распределённых систем. Метод подходит для IoT, мультиарендных платформ и массового выпуска сертификатов, где классический DNS-01 неудобен.
В целом DNS-PERSIST-01 выглядит как подготовка отрасли к будущему с более короткими сроками жизни сертификатов, когда частые перевыпуски станут нормой.
FAQ
Что такое DNS-PERSIST-01?
Это новый тип ACME-челленджа, позволяющий подтверждать владение доменом через постоянную DNS-запись вместо временных записей для каждого выпуска сертификата.
Чем он отличается от DNS-01?
DNS-01 требует создавать новую TXT-запись _acme-challenge при каждом выпуске или продлении сертификата, тогда как DNS-PERSIST-01 использует одну постоянную запись _validation-persist.
Нужно ли обновлять DNS при каждом продлении сертификата?
Нет. После создания постоянной записи её можно использовать для всех последующих выпусков и продлений, пока она действительна.
Можно ли выпускать wildcard-сертификаты?
Да. Для этого в записи указывается параметр policy=wildcard, расширяющий область авторизации на поддомены.
Можно ли ограничить срок действия авторизации?
Да, с помощью параметра persistUntil, который задаёт дату истечения действия записи.
Безопасен ли этот метод?
Безопасность смещается с контроля DNS к защите ключей ACME-аккаунта: если злоумышленник получит доступ к аккаунту, он сможет выпускать сертификаты для домена.
Можно ли авторизовать несколько центров сертификации?
Да. Для этого публикуются несколько TXT-записей с указанием разных CA — каждая будет использовать только свою.
Редактор: AndreyEx
Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.
