Let's Encrypt, DNS 기반 인증 방식 DNS-PERSIST-01 출시: DNS 갱신 없이 인증!

DNS-PERSIST-01은 기존 DNS-01 방식과 달리, 매번 새로운 토큰을 생성하고 DNS 레코드를 업데이트하는 대신, 지속적인 TXT 레코드(Persistent TXT Record)를 사용하여 인증한다. 이 레코드는 CA와 ACME 계정을 식별하며, 갱신 시 DNS 변경을 제거하여 운영 효율성(Operational Efficiency)을 높인다. 특히, IoT 환경, 멀티 테넌트 플랫폼, 그리고 대량의 인증서 발급이 필요한 경우에 유용하다.

DNS-PERSIST-01은 DNS write access를 ACME 계정에 직접 바인딩하여 초기 설정 이후 DNS 접근 권한 관리를 용이하게 한다. 하지만, 인증 레코드가 지속적으로 유지되므로 ACME 계정 키 보호가 중요해진다. 계정 키 유출(Account Key Exposure) 시, 해당 계정으로 발급된 모든 인증서가 위험에 노출될 수 있다. 따라서, 계정 키 관리 및 모니터링에 대한 주의가 필요하다.

DNS-PERSIST-01은 기본적으로 FQDN(Fully Qualified Domain Name)에 대해서만 유효하며, wildcard 인증서(policy=wildcard) 및 만료일 설정(persistUntil)을 지원한다. 만료일 설정 시, 인증서 갱신 전에 레코드를 업데이트해야 하므로, 만료 알림(Expiration Reminder) 및 모니터링 시스템(Monitoring System) 구축이 필수적이다. 이는 인증서 만료로 인한 서비스 중단을 방지하기 위함이다.

커뮤니티에서는 DNS-PERSIST-01의 편의성을 긍정적으로 평가하면서도, 계정 ID 노출(Account ID Exposure)에 대한 우려를 제기한다. 특히, 계정 ID가 노출될 경우, 공격자가 해당 계정을 사용하여 인증서를 발급할 수 있는 위험이 있다. 또한, Let's Encrypt의 계정 인증 모델(Account Authentication Model)에 대한 추가적인 논의가 필요하다는 의견도 제시되었다.

일부 사용자들은 DNSSEC(DNS Security Extensions)의 필수적인 요구 사항(Mandatory Requirement)을 언급하며, DNS-PERSIST-01의 보안 강화를 제안한다. 또한, certbot과 같은 자동화 도구의 지원을 통해 DNS-PERSIST-01의 사용성을 높여야 한다는 의견도 제시되었다. 이러한 요구 사항들은 DNS-PERSIST-01의 실질적인 도입(Practical Adoption)을 위한 중요한 요소로 작용할 것이다.