DNS 验证是什么?
DNS 验证是现在主流且最可靠的域控制验证(DCV)方式,用于向证书颁发机构(CA)证明你对申请域名的实际管理权。
它不依赖网站是否可访问、服务器权限或邮箱收件状态,仅需在域名 DNS 解析中添加一条指定记录即可完成验证。
这个方式目前被 Sectigo、Digicert、锐安信、华测等所有主流 CA 广泛采用,
这个证书的验证方式适用于拥有域名解析管理权限的用户,常见于企业 IT 管理员、云平台运维及独立开发者。
可以说是现在最常见的SSL证书申请的验证方式。
DNS 验证的技术机制
验证流程基于 DNS 协议权威性
CA 不会直接检查你的服务器,而是向全球 DNS 根服务器发起递归查询,确认你添加的 TXT 或 CNAME 记录已真实生效并可被公共 DNS 解析器读取。
典型流程为:
CA 提供一个解析值 → 用户在 DNS 后台添加对应 _acme-challenge 主机记录 → CA 每 30–60 秒轮询验证 → 连续两次匹配即签发证书。
整个过程无需重启服务,也无 HTTP 端口开放要求,规避了防火墙拦截与 CDN 缓存干扰问题。
支持两种标准记录类型
- TXT 记录适用于绝大多数场景,兼容性最强;
- CNAME 记录是目前常见的多级域名统一验证;
例如将 _acme-challenge.sub.example.com 指向 CA 提供的专用验证域名,实现子域批量托管。
但注意:部分老旧 DNS 服务商(如某些 IDC 自建 DNS)不支持长 TXT 值(超 255 字符),这个时候就的必须拆分为多段并加引号,否则验证失败。
图例为常见的DNS解析对应图示,可放大查看!
DNS 验证实践中的关键限制
DNS 验证虽稳定,但存在三项硬性约束:
- 第一,DNS TTL 值若设为 86400(24 小时),新记录平均生效需 10–30 分钟,紧急部署时建议提前将 TTL 调至 300 秒;
- 第二,国内部分云解析平台(如早期阿里云万网)对 TXT 记录长度限制为 128 字符,而 Let’s Encrypt 新版 ACME 协议挑战值已达 230+ 字符,需升级至新版阿里云云解析 DNS;
- 第三,若使用 CDN 或 WAF(如腾讯云 CDN、网宿),其 DNS 接管模式可能导致本地解析未同步,最好在「DNS 解析设置」页确认为「权威解析」而非「转发解析」。
| 指标 | 参考标准 | 运维建议 |
|---|---|---|
| 验证成功率 | CA/B Forum BR 3.2.2.3 要求 ≥99.5% | 使用阿里云/腾讯云 DNS 时开启「智能解析」+「全球节点」,避免地域性解析失败 |
| 生效等待时间 | RFC 1035 建议 TTL ≥300 秒 | 生产环境首次验证前,TTL 提前 24 小时调低至 300;验证通过后恢复默认 |
| 记录保留期 | CA/B Forum 不强制要求清除 | 建议签发后 72 小时内手动删除,防止被恶意复用或暴露验证逻辑 |
不过实际操作中并没有那么复杂,一般的解析都具备以上条件及要求,所以直接解析就可以了!
常见问题
DNS 验证失败,但记录已添加且 dig 命令能查到,为什么?
多数因本地 hosts 文件或运营商 DNS 缓存导致。
可以使用 DNS解析记录查询 工具从全球 12 个节点验证,排除单点误差。
一个账号下多个域名能否共用同一条 DNS 记录?
不能。
每个域名挑战值唯一,重复使用会导致后续域名验证被拒绝,CA 系统判定为“非授权复用”。
通配符证书为何强制要求 DNS 验证?
这是因为通配符覆盖 *.example.com 下全部子域,HTTP 文件验证无法覆盖未部署网站的子域(如 api.example.com 尚未上线),所有只有 DNS 权威性才能保障全域控制权。
京公网安备11010502031690号
网站经营企业工商营业执照
