acme.sh项目：GoDaddy API变更对通配符子域名证书签发的影响

背景介绍

acme.sh作为一款广泛使用的ACME协议客户端，长期以来支持通过DNS API方式与各大域名注册商集成，实现自动化证书管理。近期，部分用户在使用acme.sh与GoDaddy DNS API集成时，发现无法为通配符子域名（如*.subdomain.domain.com）签发证书的问题。

问题现象

用户报告称，使用acme.sh的GoDaddy DNS API时：

1. 对主域名（如domain.com）和一级通配符子域名（如*.domain.com）的证书签发工作正常
2. 但对二级通配符子域名（如*.subdomain.domain.com）的证书签发失败
3. 错误信息显示API返回"UNKNOWN_DOMAIN"或"ACCESS_DENIED"

根本原因

经过调查和与GoDaddy官方的沟通，确认这是由于GoDaddy近期对其API访问策略进行了重大调整：

1. API访问权限变更：

   • 管理类和DNS类API现在要求账户满足以下条件之一：
     • 拥有10个或更多域名
     • 拥有活跃的Premium Discount Domain Club会员资格

2. 子域名API限制：

   • 系统不再允许通过API管理子域名记录
   • 仅支持主域名的_acme-challenge记录操作

3. 不同环境的差异：

   • 这些限制仅适用于生产环境API
   • 测试环境(OTE)API仍保持原有访问权限

技术影响分析

这一变更对使用acme.sh自动化管理证书的用户产生了以下影响：

1. 通配符证书签发：

   • 主域名的通配符证书（*.domain.com）仍可正常签发
   • 但更深层级的通配符子域名证书（*.sub.domain.com）将无法签发

2. 自动化流程中断：

   • 依赖GoDaddy DNS API进行自动化证书续期的脚本将失败
   • 需要人工干预或迁移到其他DNS服务商

3. 临时解决方案失效：

   • 之前可能有效的缓存验证方式（约30天有效期）只是临时方案
   • 长期仍需寻找替代方案

建议解决方案

对于受此影响的用户，可以考虑以下方案：

1. 迁移DNS服务：

   • 将域名DNS解析迁移到支持完整API访问的其他服务商
   • 如知名CDN服务商、AWS Route53等主流DNS服务提供商

2. 调整证书策略：

   • 减少对深层通配符子域名的依赖
   • 改为明确列出需要的子域名

3. 联系GoDaddy支持：

   • 符合条件的用户可申请提升API权限
   • 或考虑购买所需会员资格

总结

GoDaddy API策略的变更反映了商业API服务逐渐收紧免费访问权限的趋势。对于依赖自动化证书管理的用户，建议定期检查所用DNS提供商的API政策变化，并建立灵活的架构设计，以便在类似变更发生时能够快速调整。acme.sh作为客户端工具，其功能受限于上游API的可用性，用户在选择DNS服务商时应将API稳定性纳入考量。