DNSSEC Fehler: The TTL of the RRset (180) exceeds the value of the Original TTL field of the RRSIG RR covering it (0).

    Die verschwindet dann für Resolver, die das DNSSEC validieren, bis DNSSEC wieder funktioniert. Und das passiert nicht von allein. Deswegen würde ich nicht raten, DNSSEC zu aktivieren bei wichtigen Domains. Falls DNSSEC bei einer bei netcup registrierten Domain aus welchen Gründen auch immer gewünscht oder notwendig ist, sollte man andere Nameserver benutzen, z.B. deSEC.

    Quote from johnassel

    Auch interessant: Deaktiviert man DNSSEC, fliegt die Domain komplett weg und ist nicht mehr auflösbar. Eh? :/

    Es dauert ein wenig, bis die entsprechenden Änderungen bei den NS der TLD ankommen und alle Caches ungültig werden. Bis dahin glauben die Resolver bzw. Clients, dass DNSSEC aktiv ist, bekommen aber keine signierten Antworten mehr von den netcup NS und brechen deswegen ab.


    Nach spätestens 24h sollte es wieder funktionieren, meistens geht es aber deutlich schneller innerhalb von 1-4 Stunden.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited 2 times, last by KB19 ().

    So ein Key hat ne begrenzte Lebenszeit und muss dann erneuert werden, damit die Signaturkette erhalten bleibt. Das sollte dann eigentlich automagisch passieren. Damals hat das scheinbar nicht funktioniert.

    Eine Zeit hatte ich DNSSEC auch aktiviert, aber nachdem mir das bei einer .io Domain mal auf die Nase geflogen ist (Über die auch meine Mails liefen) und der netcup Support den Support vom .io Registrar anhauen musste, lass ich meine Finger davon.

    Ich weiß nicht mehr was da alles kaputt ging/war, aber irgendwas war es einmal so richtig.

    Da sich jetzt bei mir auch DNSSEC verabschiedet hat, wollte ich mich hier mal nach einem aktuellen Stand erkundigen. Kann man das Problem jetzt aussitzen oder muss ich mir einen Plan B überlegen. Für meinen Mail-Server hätte ich schon ganz gerne DNSSEC.