acme.sh项目中INWX DNS API的密码转义问题解析

在acme.sh项目的DNS API实现中，当使用INWX（InterNetworX）作为DNS提供商时，存在一个关键的密码转义问题。这个问题会导致包含特殊字符的密码在XML请求中无法正确传输，从而引发认证失败。

问题本质

当用户配置INWX账户密码包含XML特殊字符（如<、>、&等）时，这些字符在生成的XML请求中会被直接输出，而没有被正确转义。例如密码"Ncwr<NZ#+%?9"中的"<"字符会被XML解析器误认为是标签的开始符号，导致整个XML结构被破坏。

技术背景

INWX的API采用XML-RPC协议进行通信。根据XML规范，以下字符必须进行转义处理：

• < 转义为 <

• 转义为 >

• & 转义为 &
• " 转义为 "
• ' 转义为 '

影响范围

该问题会影响所有使用以下情况的用户：

1. 密码中包含XML特殊字符
2. 使用acme.sh的dns_inwx.sh脚本进行DNS验证
3. 通过Let's Encrypt等CA进行证书签发

解决方案

开发者已在提交中修复此问题，主要改进包括：

1. 对密码字符串进行XML实体转义处理
2. 确保所有特殊字符都能正确编码
3. 保持与INWX API的兼容性

用户应对措施

遇到此问题的用户应采取以下步骤：

1. 升级到最新版acme.sh
2. 检查密码中是否包含特殊字符
3. 必要时临时修改密码为仅含字母数字的简单组合
4. 在debug模式下验证请求是否正常

最佳实践建议

为避免类似问题，建议：

1. 为API使用专用账户而非主账户
2. 密码尽量使用字母数字组合
3. 如必须使用特殊字符，确保其数量最少化
4. 定期检查自动化证书签发日志

该修复体现了开源项目中安全细节的重要性，特别是涉及认证凭据处理时，必须考虑各种边界情况。对于自动化工具而言，正确处理特殊字符是确保系统可靠性的基本要求。