Vlákno názorů k článku Let's Encrypt spouští podporu žolíkových certifikátů od Vít Šesták - Pokud to dobře chápu, při použití CNAME dávám...

Pokud to dobře chápu, při použití CNAME dávám třetí straně možnost si vystavit vlastní certifikát libovolnou autoritou, která používá ACME DNS challenge. Kdybych ale použil DNAME, mohu to delegovat na vlastní DNS server, ne?

To můžete tak i tak. Ostatně ten režim DNS alias je myšlen tak, že obě domény jsou vaše, jen z nějakého důvodu nechcete nebo nemůžete tu hlavní doménu hostovat u poskytovatele, který nabízí API pro editaci DNS záznamů.

DNAME slouží k přesměrování celého podstromu. Moc se nepoužívá a v komunitě lidí kolem DNS není příliš oblíben.

Jo takto, já myslel, že autoři ACME.sh nabízejí takovou službu.

S DNAME se taky moc nepotkávám, ale přijde mi to jako praktické řešení takové situace, jednodušší a praktičtější než CNAME. DNS server mohu provozovat na stejném serveru, ze kterého žádám o certifikát.

No, jestli si přesměruju pouze _acme-challenge.exam­ple.com, nebo i celý podstrom, to už je IMHO celkem jedno.

Aha, špatně jsem to přečetl, šlo by asi spíš o NS záznam. Ten by umožnil přesměrování na DNS server přímo.

Tak to skutečně jde. Implementoval jsem si k tomu účelu i jednoduchý DNS server, který čte tokeny z adresáře: https://gist.github.com/v6ak/52aaf19ee71f5528dfa8d0def991d27a