Eintragen von TXT-Records in DNS sorgt für zwischenzeitlich kaputte DNS-Einträge

  • Da ich ein Letsencrypt-Zertifikat auf *.example.com und example.com registriere, muss ich eine DNS-Challenge verwenden, die man ja praktischerweise mittels dem Netcup-API-Plugin mit certbot umsetzen kann. Das tut auch grundsätzlich, allerdings ist mir ein seltsames Verhalten der DNS-Einträge aufseiten von Netcup aufgefallen: Wenn man TXT-Einträge vornimmt, so wie es die DNS-Challenge tut, wird zumindest der A-Eintrag (d.h. IPv4) zumindest temporär auf eine Platzhalterseite von Netcup gesetzt, sodass der Domainpark im Browser erscheint. Wenn ich wenige Minuten nach der Challenge allerdings im CCP nachschaue, sind alle Einträge wieder korrekt, und der TXT-Eintrag verschwunden. Die falsche IPv4 hält sich allerdings einige Zeit in den Caches; wenn ich eine bisher noch nicht gecachte Unterseite meiner Domain aufrufe, kommt die korrekte IP-Adresse zurück.


    Dieses Verhalten habe ich auch, wenn ich manuell im CCP TXT-Einträge vornehme. Dort hat auch letztes Mal die Speicherung im Webinterface scheinbar nicht richtig funktioniert und ich musste das CCP neu laden. Der TXT-Eintrag war ohne manuelle Löschung verschwunden.


    Ist dieses Verhalten bekannt, normal, oder habe ich irgendetwas übersehen? Viele Grüße

  • Das klingt spannend. Zumindest hier im Forum habe ich davon noch nie was gelesen.


    Habe ich das richtig verstanden, dass das auch passiert, wenn du TXT-Einträge über das CCP erstellst? Wie lange ist in dem Fall dann die IPv4 falsch?


    Oder könntest du mal einen beispielhaften Ablauf mit Zeiten daneben erstellen? Dann könnte ich versuchen das mal nachzustellen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Das klingt spannend. Zumindest hier im Forum habe ich davon noch nie was gelesen.


    Habe ich das richtig verstanden, dass das auch passiert, wenn du TXT-Einträge über das CCP erstellst? Wie lange ist in dem Fall dann die IPv4 falsch?


    Oder könntest du mal einen beispielhaften Ablauf mit Zeiten daneben erstellen? Dann könnte ich versuchen das mal nachzustellen.

    Die IP ist *schätzungsweise* 20 Minuten bis zu eine Stunde falsch. 20-30 Minuten dauert es auch in der Regel, bis netcups DNS-Einträge durch die Caches propagieren (das certbot-Plugin wartet 20min und sieht danach den TXT-Eintrag erfolgreich, und ich habe an den Standardeinstellungen zur TTL und so weiter nichts geändert).


    In der Tat ist das Verhalten identisch zwischen CCP manuell und API.


    Der Ablauf heute Morgen war in etwa wie folgt, aber leider sind die Zeiten sehr grob geschätzt.


    9:35 - doas certbot certonly --force-renewal --authenticator dns-netcup --dns-netcup-credentials /path/to/api/secrets --dns-netcup-propagation-seconds 1200 --keep-until-expiring --expand --non-interactive --server https://acme-v02.api.letsencrypt.org/directory -d '*.example.com' -d example.com auf dem Server

    10:00 - Kurzer Test der Website, die jetzt auf den Domainpark zeigt; Adresse via Ping wurde dann auch getestet. Danach war ich etwa zwei Stunden anderweitig beschäftigt.

    12:00 - Erneuter Test der Website und Haupt-Domain, die sich jetzt erholt haben, während ich den Orginalbeitrag geschrieben hatte.


    Certbot und das Plugin laufen direkt auf einem bei netcup gehosteten Arch Linux vServer. Die DNS-Konfiguration ist größtenteils wie die Standardeinstellung, ich habe lediglich einen AAAA-Eintrag zur IPv6-Adresse des Servers eingerichtet und alle IPv4-Einträge einschließlich A auf die IPv4-Adresse des Servers eingerichtet.


    Bei aktiviertem DNSSEC gabs schön öfter komische Probleme. Getestet habe ich es in letzter Zeit nicht...

    DNSSEC ist bei mir aktuell aus.

  • Betrifft das dann nur deine Domain example.com oder auch Subdomains? Arbeitest du mit Wildcards im DNS? Magst du vielleicht einmal einen Screenshot deiner DNS-Einstellungen posten? Gerne auch in zensierter Form.


    Generell bietet es sich bei solchen Tests an, direkt die netcup-Nameserver abzufragen. Dann hast du auch nicht das Problem das Caching abzuwarten.

    Also z.B. mit dig A example.com @root-dns.netcup.net

    Vielleicht bekommst du damit erstmal raus, von wann bis wann der falsche A-Records ausgeliefert wird. Zusätzlich hier noch die Info, dass die Zonen in den Nameservern immer alle 10 Minuten übernommen werden. Also füge ich um 15:42 Uhr einen Record hinzu, ist dieser frühestens 15:50 Uhr in den Nameservern vorhanden.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Edited once, last by Virinum ().

  • Betrifft das dann nur deine Domain example.com oder auch Subdomains? Arbeitest du mit Wildcards im DNS? Magst du vielleicht einmal einen Screenshot deiner DNS-Einstellungen posten? Gerne auch in zensierter Form.

    Das betrifft scheinbar nur example.com, das kann aber auch daran liegen, dass die anderen Domains bisher noch nicht abgefragt wurden und somit in keinen Caches liegen. Wildcards sind vorhanden, so wie es auch der Standard vorgibt (ich würde auch gerne Subdomains mittels meines Proxys beliebig hinzufügen können, ohne dass ich dafür am DNS-Eintrag oder an den Zertifikaten etwas ändern muss).pasted-from-clipboard.png

  • Ich hab die Einträge mal genau so übernommen wie du. Ich bekomme es aber nicht nachgestellt. Habe einen Record _acme-challenge.example.com erstellt und 20 Minuten gewarten. Trotzdem werden alle IPv4-Adressen korrekt zurückgegeben.


    Ich würde mir das gerne mal angucken, wenn der Fehler gerade auftritt. Dann hättest du vielleicht auch was in der Hand, womit du dich an den Support wenden kannst. Vielleicht können wir mal eine Uhrzeit ausmachen und du fügst einen TXT-Record hinzu. Dann würde ich in dem Moment mir das mal genau anschauen.


    Generell würde ich dir aber empfehlen die TTL mal etwas runter zu setzen. 24 Stunden ist schon echt lang. Ich nehme meistens 3600 (eine Stunde).


    Und sofern du keine E-mails unter www.example.com empfängst, ist der letzte Eintrag mit dem www eigentlich unnötig, weil dieser auch von der Wildcard abgedeckt ist.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Edited once, last by Virinum ().

  • Entschuldige die lange Pause. Ich hab jetzt noch mindestens einmal eine Zertifikatserneuerung gemacht und es scheint alles zu funktionieren. Keine Ahnung, was da beim ersten Mal los war.