Let’s Encrypt は 2026年2月18日、新しい ACME チャレンジ方式
DNS-PERSIST-01 の実装計画を公開しました。
従来の DNS-01 と同じく DNS を使う方式ですが、証明書発行や更新のたびに
TXT レコードを書き換えるのではなく、ACME アカウントと認証局に紐づく
永続的な認可レコードを使う点が大きな特徴です。
※本記事は公開情報をもとに整理した内容です。記事内容に関する個別のお問い合わせにはお答えいたしかねますので、正確な内容や最新情報は必ず公式ソースもあわせてご確認ください。
要点
- DNS-PERSIST-01 は、DNS に永続的な認可レコードを置く新しい ACME チャレンジです。
- DNS-01 のように、発行や更新のたびに TXT レコードを更新する必要を減らせる可能性があります。
- Let’s Encrypt は、ステージング環境を 2026年第1四半期後半、本番環境を 2026年第2四半期目標として案内しています。
- Pebble では対応済みで、lego クライアントでの実装作業も進行中とされています。
日本語要約
DNS-01 では、ACME クライアントが発行・更新のたびに
_acme-challenge 配下へ一時的な TXT レコードを作成し、
認証局がその値を確認します。
この方式は広く使われていますが、DNS 反映待ちや DNS API 認証情報の取り扱いが運用上の負担になりやすい面があります。
DNS-PERSIST-01 では、対象ドメインに対して
_validation-persist 配下の TXT レコードをあらかじめ用意し、
そのレコードで「この ACME アカウントと認証局に発行を許可する」ことを示します。
これにより、更新処理のたびに DNS を書き換える構成から離れられる可能性があります。
運用上の見どころ
特に注目しやすいのは、DNS API 認証情報を証明書更新処理へ常設しなくてもよくなる可能性です。 初期設定時に永続レコードを作成した後は、ACME アカウント鍵の保護が中心になります。 つまり、DNS の書き込み権限を広く配る構成から、ACME アカウント単位の管理へ寄せられる設計です。
ただし、永続的な認可レコードを使うため、ACME アカウント鍵の管理はより重要になります。 既存の DNS-01 をすぐ置き換えるものというより、ワイルドカード証明書、大量発行、マルチテナント環境などで、 DNS 更新をできるだけ少なくしたい場合の新しい選択肢として見るのが自然です。
このページ向けの読み替え
ACME 証明書の案内ページでは、今後の認証方式として注目しておきたい話題です。 現時点では本番利用前の段階ですが、DNS 認証の運用負担を抑える方向性として、 今後の ACME クライアント対応や認証局の提供状況を継続して確認する価値があります。