Задержки в ACME от Let's Encrypt: что нужно знать
DNS-persist-01 от Let's Encrypt: почему всё затягивается
Следите за дорожной картой Let's Encrypt? Тогда заметили: про DNS-persist-01 давно ничего не слышно. Протокол, который должен был изменить работу с DNS-валидацией сертификатов, так и не вышел в продакшн. Разберёмся, что происходит и как это влияет на вашу автоматизацию.
Зачем нужен DNS-persist-01
Сначала поймём, почему это вообще важно. DNS-persist-01 — часть протокола ACME, которую Let's Encrypt использует для автоматической выдачи и продления SSL/TLS сертификатов.
Ключевая идея — решить проблему с задержками DNS. Когда Let's Encrypt проверяет ваше право на домен, он кладёт токен в DNS-запись. Вот только эта запись должна разойтись по всей глобальной DNS-инфраструктуре. Стандартный ACME рассчитывает на мгновенное распространение, но в реальности всё иначе.
DNS-persist-01 позволяет токену оставаться доступным даже после первичной проверки. Если что-то пойдёт не так при продлении — можно перепроверить домен без лишних проблем. Меньше сбоев, больше стабильности.
Почему задержка критична
Для команд и стартапов, которые работают с инфраструктурой на масштабе, управление сертификатами — это не про technical debt. Это про работоспособность сервиса. Просроченный сертификат — это простой, предупреждения безопасности и экстренные ночные дежурства.
Обещание DNS-persist-01 было простым: более устойчивая автоматизация, которая учитывает реальное поведение DNS. Пока этого нет, команды выкручиваются сами: увеличивают окна валидации, дублируют способы проверки, аккуратно планируют любые DNS-изменения.
Что делать прямо сейчас
Пока DNS-persist-01 не появился в продакшене, вот рабочие рекомендации.
Закладывайте запас по времени. Не тяните с продлением до последнего. DNS может распространяться от пары секунд до 48 часов в крайних случаях. Неделя буфера — это минимум.
Используйте несколько способов валидации. Комбинируйте HTTP-01 и DNS-01. Это даёт запасной канал для получения сертификата.
Настройте мониторинг дат истечения. Автоматика ломается, и мониторинг — ваша страховка. Ставьте алерты заранее, не в день X.
Оцените API вашего DNS-провайдера. Если провайдер предоставляет нормальное API, можно написать умную логику с повторными попытками при проблемах с валидацией.
Контекст
Let's Encrypt стабильно улучшали автоматизацию сертификатов на протяжении многих лет. DNS-persist-01 — логичный следующий шаг этой эволюции. Задержка, скорее всего, связана со сложностью изменений в протоколе, который обслуживает миллионы сертификатов по всему интернету.
Какой бы ни была причина, потребность никуда не делась: автоматизация сертификатов должна быть устойчива к реальным особенностям DNS. Пока DNS-persist-01 не готов, стройте избыточность в свои процессы и следите за развитием протокола.
Мониторьте форумы Let's Encrypt и обсуждения ACME working group. И помните: сертификаты не продлятся сами по себе. Сделайте свою автоматику максимально надёжной.
А с какими проблемами при DNS-валидации сертификатов сталкивались вы? Делитесь в комментариях.