https://letsencrypt.org/2025/12/02/from-90-to-45.html 从 2026 年 5 月 13 日起，使用 tlsserver 配置签发的证书有效期将只有 45 天 从 2027 年 2 月 10 日开始，classic 配置（包括没有指定配置时）签发的证书有效期将为 64 天 2028 年 2 月 16 日后所有签发的证书有效期将不超过 45 天 同时 IETF 和 CA/B 正在标准化一种新的 ACME 验证方法 DNS-PERSIST-01 https://www.ietf.org/archive/id/draft-sheurich-acme-dns-persist-01.html 使用 _validation-persist 作为前缀，例如 _validation-persist.domain.tld 值的第一部分是 CA 的 issuer-domain-names，比如 letsencrypt.org 第二部分是 ACME 的 Account URI 可选的第三部分是一些参数，包括 policy: 如果 policy=wildcard 表明允许签发该域名/子域的泛域名证书 persistUntil: 一个 UNIX 时间戳，表明该记录在其指定的时间后不再视为有效的授权 可以存在多条记录以授权多个 CA 最终效果例如 _validation-persist.domain.tld. 3600 IN TXT ( "letsencrypt.org;" " accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/12345;" " policy=wildcard" )

这样就无需在每次验证 DCV 的时候都需要在 DNS 上添加临时记录 这意味着推进用户采用中心化的证书管理或者在每个设备上同步 ACME 用户私钥。之前看到一个 ACME 客户端居然在每次签发证书的时候创建一个新账户，实在是太离谱了