Let's Encrypt เตรียมเปิดกระบวนการยืนยันเจ้าของเว็บด้วย DNS แบบใหม่ ใช้งานกับเซิร์ฟเวอร์ที่เข้าจากอินเทอร์เน็ตไม่ได้โดยง่าย
Body
Let's Encrypt ประกาศเตรียมรองรับกระบวนการยืนยันตัวตน DNS-PERSIST-01 กระบวนการยืนยันตัวตนแบบที่ 4 ภายในปี 2026 เปิดทางให้เซิร์ฟเวอร์ต่างๆ ที่ไม่สามารถเข้าถึงจากอินเทอร์เน็ตได้สามารถใช้งาน Let's Encrypt ได้โดยง่าย
เดิม Let's Encrypt มีกระบวนการยืนยันความเป็นเจ้าของโดเมน 3 แบบ ได้แก่
ใน 3 วิธีนี้ มีเพียง DNS-01 เท่านั้นที่สามารถขอใบรับรองได้โดยตัวเซิร์ฟเวอร์ไม่ต้องเข้าถึงได้จากอินเทอร์เน็ต เพราะเป็นการกำหนดค่าใน DNS เท่านั้นตัวหมายเลขไอพีขอโดเมน (A/AAAA record) อาจจะเป็นหมายเลขภายใน เช่น 10.0.0.0/8 หรือ 192.168.0.0/16 แต่ก็แลกมาด้วยความยุ่งยากที่ไคลเอนต์ ACME ต้องสามารถแก้ไข DNS ด้วยตัวเอง
DNS-PERSIST-01 ลดความยุ่งยากลง โดยผู้ดูแลโดเมนต้องแก้ไข DNS เพียงครั้งเดียว ในซับโดเมน
ไคลเอนต์ที่ยืนยันตัวตนแล้ว สามารถขอใบรับรองของโดเมนทั้งหมดภายใต้โดเมนที่ยืนยันตัวตนเอาไว้ หรือจะขอรับรองแบบ wildcard ก็ได้เช่นกัน
มาตรฐาน DNS-PERSIST-01 ระบุว่าผู้ใช้ควรใช้ DNS ที่รองรับ DNSSEC, มีการมอนิเตอร์ zone, และควรเปลี่ยนข้อมูลยืนยันตัวตนบ้าง ขณะที่ฝั่งไคลเอนต์และ CA ที่ต้องยืนยันตัวตนกันก็ควรมีกระบวนการยืนยันตัวตนที่แข็งแรง
ที่มา - Let's Encrypt
lew Fri, 05/12/2025 - 00:51
Continue reading...
Body
Let's Encrypt ประกาศเตรียมรองรับกระบวนการยืนยันตัวตน DNS-PERSIST-01 กระบวนการยืนยันตัวตนแบบที่ 4 ภายในปี 2026 เปิดทางให้เซิร์ฟเวอร์ต่างๆ ที่ไม่สามารถเข้าถึงจากอินเทอร์เน็ตได้สามารถใช้งาน Let's Encrypt ได้โดยง่าย
เดิม Let's Encrypt มีกระบวนการยืนยันความเป็นเจ้าของโดเมน 3 แบบ ได้แก่
- HTTP-01: กระบวนการแบบดั้งเดิมที่ผู้ใช้ต้องควบคุมเว็บเซิร์ฟเวอร์แล้วฝังข้อมูลที่ยืนยันความเป็นเจ้าของเอาไว้
- TLS-ALPN-01: ยืนยันผ่านการ handshake TLS โดยอาจจะควบคุมตัวเซิร์ฟเวอร์โดยตรง
- DNS-01: ยืนยันความเป็นเจ้าของด้วยข้อมูลใน TXT record ของ DNS
ใน 3 วิธีนี้ มีเพียง DNS-01 เท่านั้นที่สามารถขอใบรับรองได้โดยตัวเซิร์ฟเวอร์ไม่ต้องเข้าถึงได้จากอินเทอร์เน็ต เพราะเป็นการกำหนดค่าใน DNS เท่านั้นตัวหมายเลขไอพีขอโดเมน (A/AAAA record) อาจจะเป็นหมายเลขภายใน เช่น 10.0.0.0/8 หรือ 192.168.0.0/16 แต่ก็แลกมาด้วยความยุ่งยากที่ไคลเอนต์ ACME ต้องสามารถแก้ไข DNS ด้วยตัวเอง
DNS-PERSIST-01 ลดความยุ่งยากลง โดยผู้ดูแลโดเมนต้องแก้ไข DNS เพียงครั้งเดียว ในซับโดเมน
_validation-persist เช่น _validation-persist.example.com ต้องตั้งค่าตามที่หน่วยงานออกใบรับรอง (certification authority - CA) แจ้งมา หากตั้งค่าถูกต้องก็แสดงว่าเป็นเจ้าของโดเมนจริง จากนั้นก็ขอใบรับรองใหม่ได้เรื่อยๆ ไม่ต้องแก้ค่า DNS อะไรอีกไคลเอนต์ที่ยืนยันตัวตนแล้ว สามารถขอใบรับรองของโดเมนทั้งหมดภายใต้โดเมนที่ยืนยันตัวตนเอาไว้ หรือจะขอรับรองแบบ wildcard ก็ได้เช่นกัน
มาตรฐาน DNS-PERSIST-01 ระบุว่าผู้ใช้ควรใช้ DNS ที่รองรับ DNSSEC, มีการมอนิเตอร์ zone, และควรเปลี่ยนข้อมูลยืนยันตัวตนบ้าง ขณะที่ฝั่งไคลเอนต์และ CA ที่ต้องยืนยันตัวตนกันก็ควรมีกระบวนการยืนยันตัวตนที่แข็งแรง
ที่มา - Let's Encrypt
lew Fri, 05/12/2025 - 00:51
Continue reading...