acme.sh DNS验证重试算法的优化方案

背景介绍

acme.sh是一个广泛使用的ACME协议客户端，用于自动化获取和管理Let's Encrypt证书。在DNS验证过程中，客户端需要等待DNS记录传播到公共DNS服务器才能完成验证。然而，不同DNS提供商的传播速度差异很大，从几分钟到几小时不等。

现有问题分析

当前acme.sh的DNS验证重试机制存在以下局限性：

1. 固定间隔检查：默认每20秒检查一次DNS记录
2. 固定超时时间：20分钟后即放弃验证
3. 配置不灵活：虽然可以通过--dnssleep延迟首次检查时间，但无法调整检查间隔和总尝试次数

这种设计在面对GoDaddy等传播较慢的DNS提供商时表现不佳，用户不得不设置过长的--dnssleep值来"确保安全"，这既不优雅也不高效。

优化方案设计

针对上述问题，提出以下改进方案：

1. 保留原有参数：保持--dnssleep参数向后兼容
2. 新增两个参数：
   • --dnsvalidateinterval：设置DNS检查间隔时间（默认20秒，范围20-3600秒）
   • --dnsvalidatetries：设置最大尝试次数（默认60次，限制总时间不超过12小时）
3. 智能限制：
   • 确保总验证时间（间隔×次数）不超过12小时
   • 确保最短验证时间不少于20分钟

实现逻辑

改进后的验证流程伪代码如下：

Sleep(dnssleep);
Dnsworked = false;
For (I = 0; ((I < dnsvalidatetries) && (!dnsworked)); ++i) {
  If txt records found in public dns then {Dnsworked = true;}
  Else {Sleep(dnsvalidateinterval);}
}
If !Dnsworked complain and fail else continue on

实际应用示例

对于GoDaddy这类传播较慢的DNS服务，可以配置：

• 检查间隔：1800秒（30分钟）
• 最大尝试次数：10次（总验证时间5小时）

这种配置既避免了过于频繁的检查，又给予了足够的传播时间，显著提高了验证成功率。

总结

通过引入更灵活的DNS验证参数，acme.sh可以更好地适应不同DNS提供商的传播特性，提高证书颁发的可靠性。这种改进特别有利于那些DNS传播较慢的环境，同时保持了与现有配置的兼容性。