Let's Encrypt, sertifika taleplerinde alan adı kontrolünü doğrulamak için ACME meydan okumalarını kullanır. Özellikle wildcard sertifikalar veya altyapısını genel internete açmak istemeyen aboneler için DNS-01 meydan okuma türü uzun süredir tek seçenek olmuştur. DNS-01 yaygın olarak desteklense ve kendini kanıtlamış olsa da, operasyonel maliyetleri vardır: DNS yayılma gecikmeleri, yenileme zamanında tekrarlayan DNS güncellemeleri ve DNS kimlik bilgilerinin altyapı genelinde dağıtılmasını gerektiren otomasyon. Bu durum, DNS API kimlik bilgilerinin sertifika yayınlama süreçlerine dahil olmasına ve sık sık DNS değişikliklerinin yapılmasına yol açar.
Bu zorlukları aşmak için Let's Encrypt, yeni bir ACME meydan okuma türü olan DNS-PERSIST-01'i desteklemeye başlıyor. Yeni bir IETF taslak spesifikasyonuna dayanan bu model, adından da anlaşılacağı gibi DNS'i doğrulama mekanizması olarak kullanıyor ancak kontrolün tekrarlayan gösterimlerini, belirli bir ACME hesabına ve CA'ya bağlı kalıcı bir yetkilendirme kaydı ile değiştiriyor. DNS-PERSIST-01, özellikle geleneksel meydan okuma yöntemlerinin pratik olmadığı IoT dağıtımları, çok kiracılı platformlar ve toplu sertifika işlemleri gerektiren senaryolar için uygun.
DNS-PERSIST-01 ile, her sertifika yayınlama için yeni bir meydan okuma kaydı yayınlamak yerine, CA'yı ve bu alan adı için sertifika yayınlamaya yetkili ACME hesabını tanımlayan kalıcı bir yetkilendirme TXT kaydı yayınlarsınız. Bu kayıt bir kez oluşturulduğunda, yeni sertifika yayınlamaları ve sonraki tüm yenilemeler için tekrar kullanılabilir. Bu, DNS değişikliklerini kritik yoldan çıkarır ve DNS yazma erişimini başlangıç kurulumundan sonra daha sıkı kontrol altında tutar. DNS-01'de hassas varlık DNS yazma erişimi iken, DNS-PERSIST-01 yetkilendirmeyi doğrudan bir ACME hesabına bağlayarak güvenlik risklerini azaltır.
Bu yeni doğrulama modeli, özellikle büyük ölçekli ve dinamik altyapılarda sertifika yönetimini basitleştirerek operasyonel yükü ve güvenlik risklerini önemli ölçüde azaltma potansiyeli taşıyor.