对于站长来说,SSL证书续期曾是一场与时间的赛跑——尤其是使用DNS验证时,每次都要新增TXT记录、等待解析生效,稍有不慎就会导致证书过期,网站被浏览器打上“不安全”标签。现在,Let’s Encrypt带来了一项革命性更新:DNS-PERSIST-01验证类型,让证书签发和续期实现“一次配置,长期有效”。
2026年2月18日,免费证书颁发机构Let’s Encrypt宣布引入一种全新的ACME验证方式——DNS-PERSIST-01。该机制基于IETF草案,旨在通过持久化的DNS授权记录,彻底简化证书的管理流程。目前已在测试环境上线,计划于2026年第二季度正式投入生产。
作为一名站长,我第一时间研究了这项新功能,并迫不及待想和大家分享:这可能是近年来SSL证书领域最贴心的改进,没有之一。
一、 传统DNS-01的痛点:每次续期都要“折腾”DNS
在介绍新方法之前,我们先回顾一下目前最常用的DNS-01验证。
当你使用Let’s Encrypt申请或续期证书时,ACME客户端会要求你在域名的 _acme-challenge.<你的域名> 下添加一条TXT记录,记录值是一次性的Token。CA机构通过查询这条记录来证明你对域名的控制权。
这个过程有几个让站长头疼的地方:
- 每次都要操作DNS:无论是新申请还是90天后续期,都需要重复添加记录。
- 等待生效:DNS解析有延迟,尤其是TTL设置较长时,可能需要等待数分钟甚至更久,自动化脚本容易超时。
- 记录泛滥:每次都会生成新的TXT记录,虽然可以清理,但长期下来DNS记录会变得冗杂。
- 通配符证书更麻烦:为泛域名申请证书,同样需要每次操作,而且对DNS配置要求更高。
对于像我这样管理着多个域名的站长,每次续期都要盯着脚本日志,生怕哪个域名没续上。这种“定时炸弹”式的管理,实在是运维中的心病。
二、 DNS-PERSIST-01:一次授权,永久生效
Let’s Encrypt这次推出的DNS-PERSIST-01,彻底改变了游戏规则。
核心原理
你只需在域名的 _validation-persist.<你的域名> 下创建一条持久的TXT记录,记录中包含你授权的ACME账户信息和CA的颁发者域名。一旦这条记录生效,后续所有证书签发和续期都无需再修改DNS,直接使用该记录即可证明控制权。
记录示例
_validation-persist.example.com. TXT "ca=letsencrypt.org; account=https://acme-v02.api.letsencrypt.org/acme/acct/123456"这条记录表明:授权Let’s Encrypt的特定账户为example.com签发证书。
关键特性
- 永久有效,除非主动撤销:默认情况下,授权长期有效,无需定期更新。
- 支持通配符证书:添加
policy=wildcard参数,即可授权签发*.example.com的通配符证书。 - 可设置有效期:通过
persistUntil参数指定授权截止时间,到期后需更新记录,适合需要临时授权的场景。 - 多CA共存:可以添加多条记录,同时授权多个证书颁发机构,互不干扰。
三、 对站长的实际价值:省心、省力、更可靠
1. 告别DNS操作延迟
传统DNS-01每次都要等待记录生效,而DNS-PERSIST-01只需配置一次。以后无论是新申请证书还是续期,ACME客户端都可以直接发起请求,无需与DNS交互,彻底消除了等待传播的时间。
2. 自动化脚本更简洁
原来的自动化脚本需要调用DNS服务商的API添加/删除记录,不仅复杂,而且各家API不统一。现在只需在首次配置时手动添加一条TXT记录,后续所有操作都可以在客户端内完成,大大降低了自动化门槛和出错概率。
3. 通配符证书管理简化
通配符证书一直是个“老大难”,因为验证必须在主域名进行。有了持久化授权,申请 *.example.com 就和申请单域名一样简单——只需在配置中加上通配符参数,无需额外DNS操作。
4. 避免证书过期风险
90天续期是Let’s Encrypt的硬性要求,但DNS-PERSIST-01让续期变得像呼吸一样自然:只要授权记录存在,客户端随时可以自动续期,不再受DNS因素干扰。站长再也不用半夜爬起来处理续期失败的告警了。
四、 注意事项:新老方法如何选择?
Let’s Encrypt明确表示,原有的DNS-01仍然完全受支持。DNS-PERSIST-01是一个可选替代方案,目前仅在测试环境可用,正式上线预计在2026年第二季度。
建议:
- 如果你对现有自动化方案满意,可以继续使用DNS-01,无需改动。
- 如果你希望彻底简化证书管理,尤其是管理多个域名或通配符证书,可以等正式上线后迁移到新方法。
- 测试环境尝鲜:现在就可以在Let’s Encrypt的测试CA(Staging)上体验DNS-PERSIST-01,熟悉配置流程。
重要提醒:
- 持久化授权意味着一旦记录被删除或篡改,所有依赖它的证书都将无法续期。因此必须保护好DNS解析权限,防止授权记录被恶意修改。
- 如果使用
persistUntil设置有效期,要记得在过期前更新记录,否则授权会中断。
五、 主机吧观点:SSL证书是基础,安全防护是铠甲
作为一家专注网络安全的博客站长,我始终强调:SSL证书只是网站安全的起点,绝不是终点。HTTPS加密可以防止数据被窃听,但无法抵御Web应用攻击、DDoS、CC攻击等更复杂的威胁。
DNS-PERSIST-01的推出,让证书管理更加轻松,我们可以把更多精力放在网站的整体安全建设上。主机吧一直推荐站长们采用“多层防御”策略:
- SSL证书:确保数据传输加密,提升用户信任和SEO排名。
- Web应用防火墙(WAF):拦截SQL注入、XSS、CC攻击等应用层威胁。
- 高防CDN:隐藏源站IP,抵御大流量DDoS攻击,加速全球访问。
- 高防服务器:为关键业务提供底层防护,确保业务连续性。
主机吧作为百度云防护、京东云星盾等产品的官方合作伙伴,可以为您提供从证书申请到全面安全防护的一站式服务。无论您使用的是Let’s Encrypt免费证书,还是付费企业级证书,我们都能帮助您正确部署,并搭配专业的WAF规则,让您的网站真正固若金汤。
从DNS-01到DNS-PERSIST-01,Let’s Encrypt用一次升级,解决了站长多年的痛点。 这不仅是技术上的进步,更是对用户体验的深刻理解。期待2026年第二季度正式上线后,我们能彻底告别证书续期的焦虑,把时间花在更有价值的事情上——比如,好好经营网站内容,或者,给自己放个假。
您的网站证书管理还停留在“手动时代”吗?欢迎留言分享你的续期故事。如需帮助规划自动化证书管理方案,或想了解如何用WAF为网站筑起第二道防线,随时联系主机吧,我们为您提供免费咨询。
主机吧 | 专注网络安全实战,助您筑牢服务器安全防线
百度云防护WAF·高防CDN·高防IP·高防服务器·SSL证书·安全审计
