Let’s Encrypt s’apprête à déployer une toute nouvelle méthode de validation pour l’obtention des certificats TLS : le DNS-PERSIST-01. Une alternative au challenge habituel, nommé DNS-01, qui promet de moins exposer les zones DNS.
Le DNS-PERSIST-01 : une autorisation permanente
Jusqu’à présent, le challenge DNS-01 traditionnel exigeait la publication d’un nouveau jeton TXT (sur l’enregistrement _acme-challenge) à chaque nouvelle demande ou renouvellement de certificat TLS. C’est une approche classique pour s’appuyer sur la validation DNS, et donc se passer de la méthode HTTP.
Le problème de cette méthode, c’est que le client ACME doit disposer d’un accès constant à la zone DNS, et donc avoir entre les mains des clés d’API lui permettant d’interagir avec la zone DNS. À savoir, tous les 90 jours avec les certificats actuels (et la durée des certificats tend à se réduire).
Le nouveau standard DNS-PERSIST-01, quant à lui, est né d’un projet de l’IETF datant d’octobre 2025. Il adopte une approche différente pour le renouvellement des certificats. En effet, l’administrateur doit publier une autorisation permanente sous la forme d’un enregistrement TXT unique (sur _validation-persist.) dans la zone DNS. Cet enregistrement a pour effet de lier une Autorité de certification (CA) à un compte ACME spécifique.
Une fois cet enregistrement en place, il est réutilisable pour les prochaines opérations sur la zone DNS : émissions de certificats et prochains futurs, retirant la nécessité de disposer d’un contrôle persistant sur la zone DNS (bye les clés d’API).
Comme le souligne le document de l’IETF, cette méthode est particulièrement adaptée aux environnements où les méthodes de défi traditionnelles sont impraticables, tels que les déploiements IoT, les plateformes multi-tenants et les scénarios nécessitant des opérations de certificats en lots.”
Un nouveau modèle de sécurité axé sur la protection de la clé ACME
En éliminant le besoin de modifier continuellement les zones DNS, le DNS-PERSIST-01 permet de verrouiller les accès en écriture sur les zones DNS après la configuration initiale. Concrètement, le risque ne se situe plus au niveau des API DNS, mais il est déplacé vers la clé du compte ACME.
La méthode DNS-PERSIST-01 permet d’agir sur les périmètres suivants :
Prise en charge des Wildcards : en ajoutant l’argument policy=wildcard dans l’enregistrement, vous étendez l’autorisation au nom de domaine FQDN, aux certificats génériques (comme *.domaine.fr), ainsi qu’à tous ses sous-domaines.
Expiration sur mesure : il est possible de définir une date d’expiration via un horodatage Unix (exprimé en secondes UTC), en ajustant le paramètre persistUntil.
Support multi-CA : il est tout à fait possible d’autoriser plusieurs autorités de certification simultanément en publiant plusieurs enregistrements TXT ciblés, chacun contenant l’identifiant de l’autorité correspondante.
Un déploiement global dès 2026
Bien qu’il s’agisse encore d’un draft, les mécanismes fondamentaux de la méthode DNS-PERSIST-01 ne devraient plus subir de modifications majeures. Vous pouvez dès à présent tester cette méthode via Pebble (un point d’entrée géré par Let’s Encrypt, mais hors production).
Le calendrier officiel prévoit un déploiement sur l’environnement de staging à la fin de ce premier trimestre 2026, suivi d’une mise en production ciblée pour le deuxième trimestre 2026. Donc, autant vous dire que c’est pour bientôt !
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.