DNS 인증 방식, DNS-PERSIST-01로 간편하게!

기존 DNS-01 방식은 인증서 갱신 시마다 DNS 레코드를 업데이트해야 하는 번거로움이 있었다. 이는 DNS 전파 지연(DNS Propagation Delay) 및 DNS API 자격 증명(Credentials) 노출 위험을 증가시키는 요인으로 작용했다. DNS-PERSIST-01은 이러한 문제를 해결하기 위해 지속적인 인증 레코드(Persistent Authorization Record)를 사용한다. 이를 통해 DNS 업데이트 빈도를 줄이고, DNS API 자격 증명(Credentials)의 안전한 관리가 가능해진다.

DNS-PERSIST-01은 DNS API 자격 증명(Credentials) 노출 위험을 줄이는 대신, ACME 계정 키(Account Key) 보호에 대한 중요성을 강조한다. 즉, 인증 레코드가 지속적으로 유지되므로 ACME 계정 키(Account Key)가 노출될 경우, 해당 도메인에 대한 인증서 발급 권한이 탈취될 수 있다. 따라서, ACME 계정 키(Account Key)의 안전한 관리 및 보관이 DNS-PERSIST-01 사용의 핵심적인 보안 고려 사항으로 부각된다.

DNS-PERSIST-01은 와일드카드 인증서(Wildcard Certificates) 및 만료 기간 설정을 지원하여 유연성을 제공한다. policy=wildcard 설정을 통해 와일드카드 인증서(*.example.com) 및 서브도메인에 대한 인증을 허용하며, persistUntil 설정을 통해 인증 레코드의 만료 기간을 설정할 수 있다. 만료 기간 설정 시에는 만료 전에 갱신할 수 있도록 모니터링 시스템 구축이 권장된다.

커뮤니티에서는 DNS-PERSIST-01에 대한 긍정적인 반응을 보이며, 특히 복잡한 DNS 설정을 사용하는 환경에서 DNS 업데이트의 번거로움을 해소할 수 있다는 점을 높이 평가했다. 2026년 1분기 말(Q1)에 스테이징 롤아웃, 2분기(Q2)에 프로덕션 롤아웃이 예정되어 있으며, Pebble 및 lego-cli 클라이언트 구현을 통해 사용자들이 쉽게 접근할 수 있도록 지원할 예정이다.