Let's Encrypt延迟ACME扩展,这次到底改了什么?

Let's Encrypt延迟ACME扩展,这次到底改了什么?

六月 24, 2026 ssl certificates let's encrypt acme protocol dns certificate automation web security devops tls

Let's Encrypt 的 DNS-persist-01 为啥迟迟不上线?

如果你一直在关注 Let's Encrypt 的动态,可能会发现 DNS-persist-01 这个东西最近基本没什么动静。这个本来被吹得很神的 ACME 扩展,本来说要彻底改变 DNS 验证证书的方式,结果到现在也没见到正式版。咱们今天就来聊聊这到底是怎么回事,以及对你的自动化证书管理有什么影响。

DNS-persist-01 是什么?

在说延迟的事之前,先聊聊这东西为什么值得关注。DNS-persist-01 是 ACME(自动化证书管理环境)协议的一部分,Let's Encrypt 就是靠这个协议来自动签发和管理 SSL/TLS 证书的。

"persist"(持久化)这个词,解决的是证书自动化里的一个老大难问题——DNS 传播延迟。Let's Encrypt 验证你域名所有权的方式,是在 DNS 记录里放一个令牌。但这个记录要传遍全球 DNS 系统,可不是瞬间完成的。传统的 ACME 验证假设 DNS 是即时生效的,但实际用过的人都知道,这根本不现实。

DNS-persist-01 的思路是:让验证令牌在首次验证完成后还能继续保留,这样万一证书续期出了问题,还能重新验证。简单说就是让整个流程更靠谱,减少续期失败的概率。

这个延迟意味着什么?

对于做开发和创业的朋友来说,证书管理可不是什么小事儿——这是直接影响业务连续性的。续期失败就意味着证书过期,证书过期就意味着网站打不开、安全警告满天飞,然后在最忙的时候还得爬起来处理紧急故障。

DNS-persist-01 原本承诺的就是:让证书自动化能够应对 DNS 传播这个"脏活累活"。现在它跳票了,团队只能继续用各种 workaround——比如把验证窗口设长一点、准备备用的验证方案、在改 DNS 之前反复确认时间窗口等等。

在它正式上线之前,你能做些什么?

既然 DNS-persist-01 还不知道要等到什么时候,下面几件事你可以先做起来:

多留点提前量。 证书续期千万别卡着过期时间才操作。DNS 传播快的话几秒就完事,慢的话可能要 48 小时。建议至少提前一周开始操作,给自己留足缓冲。

能上多种验证方式就上多种。 HTTP-01 和 DNS-01 验证方法都配置上,多一层保障。鸡蛋不要放在一个篮子里,这个道理在证书管理上也适用。

盯紧证书过期时间。 自动化工具也会出问题,所以监控是最后一道防线。提前设置好报警,别等到证书快过期了才发现。

看看你的 DNS 服务商 API 给不给力。 如果你用的 DNS 服务商有完善的 API,完全可以自己写脚本,实现更智能的验证重试逻辑。

往大了看

Let's Encrypt 这么多年来一直在稳步改进证书自动化,DNS-persist-01 算是这条路上的下一个台阶。它迟迟不上线,大概率是因为改动牵涉面太广——毕竟这套协议每天要处理互联网上几百万张证书,任何调整都需要非常谨慎。

不管原因是什么,有一点是肯定的:证书自动化必须更好地应对 DNS 的现实复杂性。在 DNS-persist-01 真正落地之前,最好的策略就是在你的证书管理流程里多叠几层保险,同时保持对协议进展的关注。

关注 Let's Encrypt 社区论坛和 ACME 工作组的讨论,有更新的时候别错过。反正现在你的证书不会自己管自己,先把能做的做好吧。


你在 DNS 证书验证这块遇到过什么坑?评论区聊聊呗。

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA EN