Let’s Encrypt vừa giới thiệu phương thức xác thực mới mang tên DNS-PERSIST-01, cho phép người dùng duy trì quyền sở hữu tên miền mà không cần cập nhật bản ghi DNS mỗi khi gia hạn chứng chỉ. Đây là bước cải tiến lớn so với phương thức DNS-01 truyền thống, giúp đơn giản hóa quy trình vận hành và giảm thiểu độ trễ do chờ đợi DNS lan truyền.
Khác với phương thức DNS-01 quen thuộc nơi bạn phải tạo một bản ghi TXT mới chứa mã token dùng một lần cho mỗi lần cấp mới hoặc gia hạn DNS-PERSIST-01 sử dụng một mô hình ủy quyền cố định. Dựa trên bản dự thảo của IETF, phương thức này cho phép thiết lập một bản ghi TXT vĩnh viễn tại nhãn _validation-persist.domain để cấp quyền cho một tài khoản ACME và CA cụ thể.
Điểm kỹ thuật và tính năng chính:
- Bản ghi cố định: Bản ghi TXT điển hình sẽ chứa tên miền của nhà phát hành (CA) và URI tài khoản ACME. Một khi đã xuất bản, bạn có thể tái sử dụng cho mọi lần gia hạn mà không cần can thiệp vào cấu hình DNS.
- Kiểm soát phạm vi (Scope): Mặc định phương thức này áp dụng cho tên miền cụ thể, nhưng có thể mở rộng cho toàn bộ subdomain thông qua tham số policy=wildcard.
- Quản lý thời hạn: Người dùng có thể sử dụng tham số persistUntil để giới hạn thời gian hiệu lực của bản ghi ủy quyền, giúp tăng cường tính bảo mật.
- Đa nhà cung cấp: Bạn có thể ủy quyền cho nhiều CA cùng lúc bằng cách xuất bản nhiều bản ghi TXT trên cùng một nhãn. Mỗi CA sẽ chỉ kiểm tra bản ghi khớp với định danh của mình.
DNS-PERSIST-01 là lựa chọn lý tưởng cho các hệ thống có hạ tầng DNS khó cập nhật tự động hoặc có thời gian lan truyền (propagation) chậm. Tuy nhiên, do tính chất vĩnh viễn, quản trị viên cần kiểm soát chặt chẽ quyền truy cập vào tài khoản ACME được ủy quyền để tránh rủi ro bị cấp chứng chỉ trái phép.
