Hallo twiddern,
danke für Ihre schnelle Reaktion.
Die Beschriftung von KSK und ZSK ist angepasst. Das war sehr aufmerksam von Ihnen, vielen Dank.
Ihre Domain muss zuerst im Nameserver korrekt den DNSSEC record ausliefern. Das kann etwas dauern.
Verwenden Sie bei einer .de Domain das Tool Nast der Denic, wo Sie auch DNSSEC Records prüfen lassen können.
nast: www.denic.de
Spontan würde ich auf ein Problem des Nameserver Eintrags in der Zone tippen.
Hallo,
vielen Dank für dieses Feature!
Nachdem es bei mir bei der Testdomain einwandfrei funktioniert hat, habe ich DNSSEC auch auf die anderen Domains ausgerollt.
Ich bin hierbei auf keine Probleme gestoßen.
Ein großes Lob an die Qualität der Arbeit, dass nicht erst ewig nachgearbeitet werden muss, bis alles funktioniert.
Leider sieht man Pfuschereien viel zu oft, aber bei NetCup sind mir solche noch nicht begegnet 
Lediglich der Vorschlag von twiddern wurde noch nicht ganz umgesetzt: jetzt steht (zumindest bei mir) beim KeySigningKey und beim ZoneSigningKey die 256... Das kann noch berichtigt werden.
Gibt es bereits eine Grobe Ahnung, wann der Einsatz von DANE mit der Testphase verfügbar ist?
Schöne Grüße
Andreas B
Das freut mich zu hören, das man dran ist.
Gibt es auch schon Pläne das umzusetzen, wenn man keinen einen DNS Server betreibt?
Hallo Andreas B,
danke für die Anmerkung zur Beschriftung. Habe es nun final korrigiert. 
In einem externen Nameserver können Sie, soweit ich weiß jetzt schon DANE Technologien verwenden.
Ein großes Lob an die Qualität der Arbeit, dass nicht erst ewig nachgearbeitet werden muss, bis alles funktioniert.
Vielen Dank dafür. Ihre Zufriedenheit ist unser Antrieb.
tuxmaster: Die Umsetzung von DNSSEC für die netcup Nameserver ist vorgesehen. Ein genauer Termin ist momentan noch nicht festgelegt.
Hallo,
ich melde mich hier nochmal zu Worte, da ich selber immer noch nicht in der Lage bin den Key hinzuzufügen, NAST schlägt auch fehl (was aber egal für DNSSEC hier egal ist), ich vermute, dass ist die selbe Problematik wie damals, als die Funktion der eigenen Nameserver eingepflegt wurde (Cloudflare rage4, etc.). Könnte man hier eine Ausnahme wieder einfügen?
Selber arbeite ich mit DNSSEC schon knapp zwei Jahre und nur bei netcup bin ich bisher auf das Problem gestoßen.
Hallo twiddern,
darf ich Sie bitten zu dem Thema ein Ticket an den Support zu schreiben?
Vielen Dank.
Hallo Johannes,
alles klar, ist auf dem weg.
Ein kurzes Update hier von meiner Seite. Ich hatte schlussendlich mit Kai von netcup Kontakt welcher mir sehr geholfen hat, da es zwei Probleme anscheinend gab.
Ich habe in meiner Zone nochmals DNSSEC ab-/anschalten müssen, da inzwischen wohl der Eintrag hops gegangen ist. Viel interessanter war das Problem, dass ich mit DIG ANY auf die Domain die richtigen Nameserver im NS-Record angezeigt bekommen habe, jedoch nicht über dig +short NS, dort wurde ein anderer, jedoch mir bekannter NS-Record geliefert.
Hier war das Problem, dass ich ein CNAME direkt auf der TLD/root hatte was "nicht üblich", eher sogar nicht erlaubt ist. Der CNAME hat auf einen anderen Host gezeigt und dessen Nameserver wurden dann für den NAST-Check in betracht gezogen, weshalb die Prüfung fehlgeschlagen ist.
Hier wäre es vielleicht schön seitens von netcup eine Ausgabe des Fehler zu liefern (im CCP). Ich stelle mir gerade es so vor, dass das Backend über die DENIC den NAST-Check macht, welcher fehlschlägt und netcup auch nur den "Error" zurück bekommt (DENIC-23p Dokument). Da wäre es mir dann auch verständlich, dass netcup keine weiteren Infos liefern kann.
Kurzum, mein Problem ist mit Hilfe von Kai gelöst worden und DNSViz was mir auch bei der Fehlerfindung geholfen hat.
