Probleme mit DNSSEC bei Org-Domain

  • Hallo liebe netcup-Community !


    Zur Ausgangslage: Ich nutze für meine Domains die Nameserver von Cloudflare, habe dies im CCP auch so konfiguriert und alles funktioniert so, wie es soll. :thumbup:


    Nun wollte ich für alle Domains DNSSEC aktivieren. Ich habe DNSSEC bei Cloudflare für die jeweiligen Domains aktiviert und Daten hiervon im CCP eingetragen. Dies hat auch für alle De-Domains auf Anhieb funktioniert und nach ca. 10 Minuten waren die Änderungen live und wurden bspw. von DNSViz auch validiert.


    Einzig eine Org-Domain macht leider Probleme. Erstmal unterscheidet sich hier die Eingabemaske (ist hier im Forum auch bei anderen so zu finden), denn statt des "Öffentlicher Schlüssel" ist hier ein "Öffentlicher Schlüssel Digest" einzutragen. Ich habe hier nun den Digest (also das, was auch so mit in den DS-Eintrag gehört) von Cloudflare eingetragen (nicht den PublicKey, so wie bei der De-Domain); doch leider klappt das nicht. Ich habe die Vermutung, dass der DS-Eintrag nicht gesetzt wird, da ich bei dieser Domain mit Tools wie dig oder delv keinen DS-Eintrag angezeigt bekomme und DNSViz dies natürlich auch nicht validiert. Ein DNSKEY wiederum ist gesetzt.


    Warnung: NSEC3 proving non-existence of xyz.org/DS: The salt value for an NSEC3 record should be empty. See RFC 9276, Sec. 3.1.

    Error: xyz.org/CDNSKEY: The CDNSKEY RRset must be signed with a key that is represented in both the current DNSKEY and the current DS RRset. See RFC 7344, Sec. 4.1.


    Selbstverständlich habe ich dem Ganzen genug Zeit gegeben, im Erstversuch eine Woche; und habe es auch mehrfach getestet. =O


    Grundsätzlich verstehe ich nicht, warum netcup hier unterschiedliche Eingabemasken verwendet und auch nicht, warum man hier nicht einfach den ganzen DS-Eintrag (tld 3600 IN DS xxx [...]) – so wie es sich gehört – manuell eintragen kann. Ich bekomme auch keine Fehlermeldung o.ä.


    Aber sei es drum: Ich will hier nicht die Oberfläche des CCP kritisieren, sondern bin auf der Suche nach einer Lösung. Vielleicht hat jemand eine ähnliche Erfahrungen gemacht und kann mir helfen. :)