从 2026 年 5 月 13 日起,使用 tlsserver 配置签发的证书有效期将只有 45 天
从 2027 年 2 月 10 日开始,classic 配置(包括没有指定配置时)签发的证书有效期将为 64 天
2028 年 2 月 16 日后所有签发的证书有效期将不超过 45 天
同时 IETF 和 CA/B 正在标准化一种新的 ACME 验证方法 DNS-PERSIST-01
使用 _validation-persist 作为前缀,例如 _validation-persist.domain.tld
值的第一部分是 CA 的 issuer-domain-names,比如 letsencrypt.org
第二部分是 ACME 的 Account URI ,最多有十个
可选的第三部分是一些参数,包括
policy: 如果 policy=wildcard 表明允许签发该域名/子域的泛域名证书
persistUntil: 一个 UNIX 时间戳,表明该记录在其指定的时间后不再视为有效的授权
可以存在多条记录以授权多个 CA
最终效果例如
_validation-persist.domain.tld. 3600 IN TXT (
"letsencrypt.org;"
" accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/12345;"
" policy=wildcard"
)
这样就无需在每次验证 DCV 的时候都需要在 DNS 上添加临时记录
这意味着推进用户采用中心化的证书管理或者在每个设备上同步 ACME 用户私钥。之前看到一个 ACME 客户端居然在每次签发证书的时候创建一个新账户,实在是太离谱了
