Na konci loňského roku certifikační autorita Let's Encrypt prozradila, že pracuje na novém zjednodušeném procesu validace pomocí DNS, pro který bude stačit vytvořit trvalý záznam nevyžadující periodickou změnu. Dokud bude záznam existovat, bude autorita pro svázaný uživatelský účet ochotna vystavovat certifikáty obsahující příslušné doménové jméno.
Nyní byly zveřejněny další technické podrobnosti o nové metodě nazvané DNS-PERSIST-01. Vše bude postaveno na záznamu typu TXT, který bude vytvořen pro subdoménu _validation-persist.example.com a bude obsahovat záznam svazující doménu s konkrétním účtem používaném v protokolu ACME:
_validation-persist.example.com. IN TXT ( "letsencrypt.org;" " accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890" )
Přidávat bude možné také další parametry jako policy=wildcard pro povolení vystavovat hvězdičkové certifikáty nebo persistUntil=1767225600 s unixovým časem omezujícím platnost tohoto záznamu. Bude možné uvést několik různých celých TXT záznamů pro různé autority.
Let's Encrypt pracuje na tom, aby se z tohoto způsobu validace stal standard dle RFC, zatím se vše diskutuje ve fázi konceptu (draft), ale základní mechanismy by se už neměly podstatně změnit. Autorita už má vše potřebné implementované v testovacím serveru Pebble a očekává, že v testovacím (staging) prostředí se funkce objeví na konci prvního čtvrtletí letošního roku. Do ostré produkce by se pak vše mělo dostat během druhého čtvrtletí, tedy někdy okolo poloviny roku.
ČLÁNKY DO MAILU