AI 요약
Let's Encrypt의 Samantha Frank는 2026년 2월 18일, 새로운 IETF 드래프트 규격에 기반한 차세대 인증 모델 'DNS-PERSIST-01'을 공개했습니다. 기존의 DNS-01 방식은 와일드카드 인증서 발급에 필수적이었으나, 매 발급 시마다 새로운 토큰을 DNS에 업데이트해야 하는 운영상의 번거로움과 DNS API 자격 증명 노출이라는 보안적 한계가 있었습니다. DNS-PERSIST-01은 도메인 제어권 증명을 위해 특정 ACME 계정과 CA를 결합한 영구적인 권한 레코드를 한 번만 등록하면 이후의 발급 및 갱신 과정을 자동화할 수 있게 설계되었습니다. 이 방식은 특히 대규모 인증서 작업이 필요한 IoT 환경, 멀티테넌트 플랫폼, 일괄 발급 시나리오에서 효율성을 극대화합니다. 결과적으로 인증서 발급 경로에서 DNS 쓰기 권한을 제거함으로써 보안성을 높이고 운영 복잡성을 획기적으로 줄이는 것을 목표로 합니다.
핵심 인사이트
- 공식 발표일: 2026년 2월 18일, Let's Encrypt 블로그를 통해 새로운 ACME 챌린지 유형인 'DNS-PERSIST-01' 지원 계획을 공개함.
- 기술적 기반: 새로운 IETF 드래프트 사양을 기반으로 하며, 기존 DNS-01의 반복적인 토큰 증명 방식을 영구 권한 레코드로 대체함.
- 대상 환경: 전통적인 챌린지 방식이 실무적으로 까다로운 IoT 배포, 멀티테넌트 플랫폼, 배치 인증서 운영 환경에 최적화됨.
- 보안 강화: 인증서 발급 파이프라인 전반에 DNS API 자격 증명을 분산 배치할 필요가 없어 보안 사고 위험을 낮춤.
주요 디테일
- 레코드 위치: 기존
_acme-challenge대신_validation-persist.example.com과 같은 특정 호스트네임에 TXT 레코드를 게시함. - 데이터 구조: 레코드 값에
letsencrypt.org;및accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890와 같이 CA 식별자와 고유 계정 URI를 포함함. - 운영 효율성: 매번 새로운 토큰을 발행하고 DNS 전파를 기다릴 필요가 없어 발급 프로세스의 '크리티컬 패스'에서 DNS 변경 작업이 제거됨.
- 반복성 제거: 한 번 레코드가 설정되면 해당 계정과 CA 간의 유효한 권한이 지속되어 추가적인 DNS 업데이트 없이 갱신이 가능함.
- 기존 방식과의 차이: DNS-01은 매번 신선한 증거(Fresh Proof)를 요구하지만, DNS-PERSIST-01은 신뢰 관계를 영구적으로 바인딩함.
향후 전망
- 업계 표준화: IETF 드래프트 단계인 이 기술이 Let's Encrypt를 통해 검증됨에 따라 다른 상용 CA들의 도입이 가속화될 것으로 예상됨.
- 자동화 도구의 변화: Certbot 등 주요 ACME 클라이언트들이 해당 챌린지 유형을 지원하기 위해 대대적인 업데이트를 진행할 것으로 보임.
출처:hackernews