DNS‑PERSIST‑01: Sertifikat olish jarayonini soddalashtiruvchi yangi ACME usuli

DNS‑PERSIST‑01 nima?

Let’s Encrypt kabi sertifikat yetkazib beruvchilar domen egasini tekshirish uchun ACME chalenglaridan foydalanadi. Anʼanaviy DNS‑01 chalengi har bir sertifikat chiqarishda yangi TXT yozuvini DNS‑ga joylashtirishni talab qiladi, bu esa DNS‑ning tarqalishi, API kalitlarini ko‘plab tizimlarda tarqatish kabi operatsion muammolarni keltirib chiqaradi.

Yangi model qanday ishlaydi?

DNS‑PERSIST‑01 chalengi doimiy tasdiq yozuvini yaratadi. Bu yozuv _validation-persist.example.com kabi maxsus subdomen ostida saqlanadi va quyidagi maʼlumotlarni o‘z ichiga oladi:

• CA (Certificate Authority) nomi – masalan, letsencrypt.org;
• ACME hisob qaydnomasi URI – bu hisobga tegishli kalitlar orqali sertifikat chiqarish mumkin;
• Kerak bo‘lsa, policy=wildcard kabi kengaytirilgan ruxsatlar;
• Istalgan holda persistUntil vaqt belgisi – yozuvning amal qilish muddatini belgilash.

Bu yozuv bir marta yaratilgandan so‘ng, har qanday yangi sertifikat yoki yangilash uchun DNS‑ga yangi yozuv qo‘shish shart emas. Shunchaki ACME mijozi mavjud yozuvni tekshiradi va tasdiqlaydi.

Nega bu muhim?

DNS‑01 chalengi har bir sertifikat chiqarishda DNS‑API kalitlarini tarqatishni, DNS‑o‘zgarishlarining tarqalishini kutishni talab qiladi. Katta infratuzilmalarda bu kuniga bir necha marta takrorlanadi, natijada:

• Operatsion xarajatlar oshadi;
• Kalitlar ko‘p joyda saqlanadi, bu esa xavfsizlik tahdidini kuchaytiradi;
• Yangi sertifikat chiqarish kechikadi.

DNS‑PERSIST‑01 bu muammolarni bartaraf etadi: DNS‑yazuv bir marta yaratiladi, keyingi barcha chiqarishlar va yangilashlar shu yozuvga asoslanadi. Natijada DNS‑API kalitlari faqat dastlabki sozlashda ishlatiladi, keyingi bosqichlarda esa ular maxsus nazorat ostida qoladi.

Ruxsat doirasi va xavfsizlik

Yozuv doimiy bo‘lgani sababli, asosiy xavfsizlik nuqtasi ACME hisob qaydnomasining maxfiy kalitidir. Bu kalitni himoya qilish birinchi darajali vazifa bo‘lib, yozuvni o‘zgartirish yoki o‘chirish imkoniyatini ham nazorat qiladi.

Yozuvga policy=wildcard qo‘shish orqali *.example.com kabi wildcard sertifikatlar ham tasdiqlanadi. Agar persistUntil parametri belgilansa, yozuv ma’lum vaqtgacha faolligini saqlaydi; bu muddat tugagach, yangi yozuv yaratish yoki mavjudini yangilash kerak bo‘ladi.

Ko‘p CA’lar bilan bir vaqtning o‘zida ishlash

Bir domen uchun bir nechta sertifikat yetkazib beruvchilarni ruxsat berish ham mumkin. Har bir CA o‘ziga xos TXT yozuvini _validation-persist.example.com ostida qo‘shadi va o‘z domeni nomiga mos keluvchi yozuvni tekshiradi.

Amaliyotda qachon qo‘llash kerak?

Quyidagi holatlarda DNS‑PERSIST‑01 ayniqsa foydali:

• IoT qurilmalari kabi cheklangan tarmoqlarda DNS‑ga muntazam kirish imkoni bo‘lmaganda;
• Ko‘p ijarachilar (multi‑tenant) platformalarda har bir mijoz uchun alohida DNS‑kalitlarni boshqarish qiyin bo‘lganda;
• Massiv sertifikat paketlarini bir vaqtning o‘zida chiqarish (batch issuance) talab qilinganda.

Qanday boshlash mumkin?

Hozirda Pebble (Boulder‑ning kichik versiyasi) va lego‑cli mijozlari DNS‑PERSIST‑01 ni qo‘llab‑quvvatlaydi. Staging muhitida 2026‑yil birinchi chorakda, ishlab chiqarish muhitida esa ikkinchi chorakda sinovdan o‘tkazilishi rejalashtirilgan.

Bu yangi chalengni sinab ko‘rish uchun, avvalo _validation-persist subdomenida kerakli TXT yozuvini yaratib, ACME mijozini shu yozuvni tekshirishga sozlash kifoya. Keyinchalik, har qanday yangi sertifikat yoki yangilash avtomatik ravishda ushbu yozuvga tayanadi.

Xulosa

DNS‑PERSIST‑01 DNS‑01 chalengining operatsion murakkabligini kamaytiradi, kalitlarni markazlashtiradi va xavfsizlikni oshiradi. Ayniqsa katta infratuzilmalarda, IoT va multi‑tenant muhitlarda bu usul sertifikat boshqaruvini soddalashtiradi va tezlashtiradi.