Selon le blog de Let’s Encrypt (Samantha Frank, 18 février 2026), l’autorité met en œuvre un nouveau type de défi ACME, DNS-PERSIST-01, basé sur un brouillon IETF et aligné avec le bulletin CA/B Forum SC-088v3 adopté en octobre 2025.

DNS-01 exige une preuve de contrôle répétée à chaque émission/renouvellement via un enregistrement TXT temporaire sous _acme-challenge.<domaine>. Cela implique des délais de propagation DNS, des mises à jour fréquentes et la distribution de crédentiels d’écriture DNS dans les chaînes d’automatisation.

Avec DNS-PERSIST-01, un enregistrement TXT durable sous _validation-persist.<domaine> autorise de façon persistante une CA et un compte ACME spécifiques (ex. letsencrypt.org + accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890). Une fois publié, cet enregistrement peut être réutilisé pour les nouvelles émissions et les renouvellements, retirant les modifications DNS du chemin critique.

Sur le plan sécurité/opérationnel, le risque principal se déplace de l’accès en écriture DNS vers la protection de la clé du compte ACME. Le mécanisme introduit des contrôles explicites de portée et de durée :

  • Portée par défaut limitée au FQDN validé, sans limite de durée.
  • Option policy=wildcard pour autoriser le FQDN, les wildcards (*.example.com) et les sous-domaines correspondants.
  • Option persistUntil=<timestamp> (UTC epoch) pour borner la validité de l’autorisation, nécessitant un suivi afin d’éviter une expiration inattendue.
  • Possibilité d’autoriser plusieurs CAs via plusieurs enregistrements TXT, chaque CA ne considérant que les enregistrements assortis à son issuer-domain-name.

Côté déploiement, le support du brouillon est déjà disponible dans Pebble (version miniature de Boulder). Une implémentation lego-cli est en cours, avec un staging prévu fin T1 2026 et un déploiement en production visé au T2 2026. L’article est une annonce technique décrivant le fonctionnement, les arbitrages sécurité/ops et le calendrier de mise en service.

🔗 Source originale : https://letsencrypt.org/2026/02/18/dns-persist-01