DNS-PERSIST-01 : un nouveau modèle pour la validation de défis basée sur le DNS

• Le DNS-PERSIST-01 de Let's Encrypt est un nouveau modèle de défi ACME qui remplace les validations répétées de la méthode DNS-01 existante par l’utilisation d’enregistrements de validation persistants
• Cette approche permet de prouver durablement le contrôle d’un domaine via des enregistrements TXT liés à un compte ACME spécifique et à une CA donnée
• Elle réduit les changements DNS et la charge de déploiement des identifiants d’API, renforçant à la fois l’efficacité opérationnelle et la sécurité
• Elle prend en charge des fonctions de contrôle fines comme les options de politique (policy=wildcard), la date d’expiration (persistUntil) et l’autorisation de plusieurs CA
• Un déploiement en staging est prévu pour la fin du T1 2026, suivi d’un rollout complet au T2, avec l’espoir de simplifier la gestion des certificats dans les environnements à grande échelle et automatisés

Limites de la méthode DNS-01

• Le défi DNS-01 existant nécessite de générer un nouveau jeton à chaque émission de certificat et d’ajouter un enregistrement TXT à _acme-challenge.
  • Chaque validation exige une mise à jour DNS, ce qui entraîne des délais de propagation et une automatisation plus complexe
• Dans les déploiements à grande échelle, les identifiants d’API DNS sont répartis sur plusieurs systèmes, ce qui augmente les risques de sécurité
• Certains abonnés souhaitent éviter ces modifications DNS répétées

Structure et fonctionnement de DNS-PERSIST-01

• Cette nouvelle méthode introduit le concept d’autorisation persistante
  • Il suffit de configurer une seule fois un enregistrement TXT sous _validation-persist. contenant la CA et l’URI du compte ACME
  • Ensuite, le même enregistrement peut être réutilisé pour les émissions et renouvellements ultérieurs
• Exemple :

  _validation-persist.example.com. IN TXT (  
    "letsencrypt.org;"  
    " accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"  
  )  
  

• Cela retire les modifications DNS du chemin d’émission, améliorant ainsi l’efficacité opérationnelle

Équilibre entre sécurité et exploitation

• Avec DNS-01, le principal actif était le droit d’écriture sur le DNS ; avec DNS-PERSIST-01, l’élément clé devient la protection de la clé du compte ACME
• Après la configuration initiale, l’accès en écriture au DNS peut être limité, ce qui réduit la surface d’attaque
• En contrepartie, comme il s’agit d’une structure de validation persistante, la fuite d’une clé de compte augmente le risque ; il faut donc renforcer la gestion de la sécurité du compte

Contrôle de la portée et de la durée de vie

• Par défaut, la validation est valable indéfiniment uniquement pour le FQDN vérifié
• L’option policy=wildcard permet d’étendre la portée aux wildcards et aux sous-domaines

  "policy=wildcard"  
  

• L’attribut persistUntil permet de définir une date d’expiration (en secondes UTC)
  • Un renouvellement est nécessaire avant expiration, avec un système de supervision indispensable

  "persistUntil=1767225600"  
  

• Pour autoriser plusieurs CA simultanément, il faut ajouter des enregistrements TXT par CA sous _validation-persist.

Calendrier d’adoption et état de l’implémentation

• Le vote CA/Browser Forum SC-088v3 a été adopté à l’unanimité en octobre 2025, et le groupe de travail ACME de l’IETF a retenu le brouillon
• La prise en charge existe déjà dans Pebble (version allégée de Boulder), et une implémentation du client lego-cli est également en cours
• Staging à la fin du T1 2026, puis déploiement complet au T2
• Ce modèle convient particulièrement aux environnements où la méthode existante est inefficace, comme l’IoT, le multi-tenant et l’émission massive de certificats

Contexte sur Let's Encrypt et l’ISRG

• Let's Encrypt est une autorité de certification (CA) gratuite, automatisée et ouverte, exploitée par l’organisation à but non lucratif ISRG
• Le rapport annuel 2025 de l’ISRG présente ses activités liées à la sécurité de l’Internet