Ich habe DNSSEC für meine Domain aktiviert. Die "meisten" DNSSEC-Analyzer sind glücklich (DNSSEC Analyzer, SSL Tools) und auch andere Mail-Server sind mit meinen DANE-Einträgen zufrieden.
Bei DNSViz erhalte ich jedoch die Fehlermeldung:
Code
RRSIG mhnnet.de/NSEC3PARAM alg 8, id 37935: The TTL of the RRset (180) exceeds the value of the Original TTL field of the RRSIG RR covering it (0).
Ich bin kein DNSSEC-Profi. Was bedeutet diese Fehlermeldung? Oder ist das ein False Positive und ist das Ergebnis bei DNSViz einfach falsch?
Alle RR haben bei mir momentan die minimal mögliche TTL von 180s. Bei den betroffenen Fällen habe ich
Code
mhnnet.de. 180 IN DNSKEY 257 3 8 AwEAAcXNH+ECVOdLRnR5bewh2C/M0C7F+jdWb7KuK2EqRrjUgvdv51ZR MvmTrCPmJ+bKn+ucFLCuaG/B6nWBcmytC0nKllUrTLYVYaKeI2RXwEka bFzgsBbkY2h90aRPKFzazUN1rumJh1UdwNRccTSzEZGUN6iiNnrgm54Q 2CVqKhrzTN
LYypYiACF4pBbAQfIyj2lmwneZwdi4J7UfzA2PMHY6v33u Bu/4U84gHBv+u6wK8e698+8sufdAiduvR8FTMOQCDRcUQnlf02ELP9Fr 2y6d/gxwjRKZiXVE59VCLqa3yCOiVg8LYVoyHxhnT+d5Z23H3P+DfDh2 2QG4F+9fWP8=
mhnnet.de. 180 IN DNSKEY 256 3 8 AwEAAahpb+4SJ/gSt4Vb9x4MwqX0nvnUxt0kjESnM/aOnWdJfOtlVhs4 r7x+ireDVyCcVodLIQGkm4WzhgKNjG4FZaE7VV4WFqXjC6KL5UJdVBiE W4tY3Ej+TxNMWDUWeA7ZAPLJBDWdwDjobd/5Xy9AoFvDjidEL6vBRcMv 86ooES6H
mhnnet.de. 180 IN NSEC3PARAM 1 0 100 73D66FE98D54FC17
Daher kann ich aber die Aussage, dass die TTL die Original TTL übersteigen würde nicht nachvollziehen.
PS: Ich bin noch am Testen und sobald alles stabil läuft, wird die TTL von 180s wieder auf angemessene Werte hochgesetzt.