Let’s Encrypt 引入 DNS-PERSIST-01 持久化 ACME DNS 验证

Let’s Encrypt 正式引入全新 ACME 验证方式——DNS-PERSIST-01。这种基于 IETF 草案的新机制，采用了基于 DNS 的持久化授权模型，大幅简化了证书的签发与续期流程，让 HTTPS 部署变得更加省时省力。

DNS-PERSIST-01在「域名控制权」的证明逻辑上做出了根本性改变，是目前广泛使用的DNS-01验证方式的一种强有力替代方案。

从每次验证到一次授权

熟悉DNS-01的站长都知道，这种方式虽然安全、稳健，但在证书续签时非常之麻烦：

• 每次申请或续期证书，你都必须在_acme-challenge.<domain>下发布一条全新的 TXT 记录。ACME 客户端需要从 CA 获取一个一次性的 Token，再由 CA 查询 DNS 记录来完成验证。
• 这就意味着，你不仅每次都要提供新的 DNS 证明，还要随时关注 DNS 记录的更新与传播延迟。

DNS-PERSIST-01的出现就打破了这种无限循环，它允许你建立一条「永久性」的授权记录：

• 只需要你在_validation-persist.<domain>下创建一条长期的 TXT 记录，这就是一张长期通行证，用于「明确授权」特定的 ACME 账户和 CA 为你的域名签发证书。

机制详解：复用与灵活性

DNS-PERSIST-01记录包含了 CA 的发行方域名和 ACME 账户 URI。这条记录发布之后，无论是申请新证书，还是后续的自动续期，系统都会直接复用这一授权，帮你从「定期更新 DNS 记录」的重复劳动中解脱出来。

这种新方法在授权范围的控制上也相当灵活：

• 默认模式：授权仅对经过验证的具体域名永久有效。
• 通配符模式：如果你需要签发像*.example.com这样的通配符证书，只需添加policy=wildcard参数，就能覆盖所有匹配的子域名。

安全与多 CA 支持

为了防范长期授权可能带来的风险，你可以选配persistUntil参数，为授权设置一个「有效期」。这个时间戳定义了记录生效的截止时间。授权一旦过期，就必须更新或替换记录，避免因管理员遗忘而导致的授权泄露。

该机制还支持「多 CA 并行授权」。你可以在同一个_validation-persist.<domain>标签下发布多条 TXT 记录，每条记录对应一个 CA 的发行方域名。验证过程中，各家 CA 只会检查匹配自身标识的那条记录，互不干扰，完美兼容多供应商的证书策略。