Certmagic项目中使用ZeroSSL和RFC2136时的CNAME验证问题解析

在Certmagic项目中，当用户尝试将证书颁发机构从Let's Encrypt切换到ZeroSSL，并使用RFC2136协议通过Bind9名称服务器进行DNS验证时，遇到了一个关键的CNAME记录配置问题。

问题背景

ZeroSSL作为证书颁发机构时，会要求申请者通过DNS验证来证明对域名的控制权。验证过程中需要在DNS中创建特定的CNAME记录。当使用RFC2136协议与Bind9名称服务器交互时，Certmagic生成的CNAME记录值缺少了结尾的点号(.)，这导致了验证失败。

技术细节分析

在DNS系统中，结尾的点号表示绝对域名(FQDN)。当CNAME记录值缺少这个点号时，Bind9会自动将当前域名附加到记录值后面。例如：

• 预期记录值："example.com."
• 实际记录值："example.com"（Bind9会自动转换为"example.com.currentdomain.tld"）

在Certmagic的ZeroSSL实现中，verifyInfo.CnameValidationP2变量存储的验证值没有包含这个结尾点号，导致Bind9服务器错误地扩展了域名，最终使ZeroSSL无法正确验证DNS记录。

解决方案

Certmagic项目团队迅速响应并修复了这个问题。修复方案是在生成CNAME记录值时，确保添加结尾的点号。具体实现是在代码中为verifyInfo.CnameValidationP2追加点号。

验证方法

用户可以通过以下步骤验证修复是否生效：

1. 使用最新版的Certmagic库
2. 检查DNS查询日志，确认CNAME记录值包含结尾点号
3. 观察ZeroSSL的验证响应，确保不再出现"record_correct":0的错误

最佳实践建议

1. 在使用DNS验证时，始终检查生成的记录是否为绝对域名(FQDN)
2. 对于生产环境，建议先在测试域名上验证整个流程
3. 监控证书颁发日志，及时发现验证问题
4. 保持Certmagic和相关插件为最新版本

这个问题展示了DNS协议细节在实际应用中的重要性，也体现了开源社区快速响应和修复问题的优势。对于使用Certmagic和ZeroSSL组合的用户，及时更新到包含此修复的版本可以避免验证失败的问题。