Vorhin zwei DNS-Einträge geändert; nun sind ca. 50% aller Einträge für die Domäne ungültig (zufälligerweise betrifft das fast alle TLSA-Einträge); DNSSEC-Flagge ist nach wie vor gesetzt. Nachdem offensichtlich entsprechende Probleme mit dem DNS in den letzten Tagen häufiger aufgetreten sind (hat sonst noch jemand ein oder mehrere Tickets hierzu offen?), frage ich mich, ob und ab wann mit einem Eintrag auf https://www.netcup-status.de/ dazu gerechnet werden kann…
Der Support hat sich meinem Problem gerade angenommen und es scheint gelöst. Das Problem war natürlich ich, auch wenn die Netcup Fehlermeldung nicht wirklich hilfreich war:
Ich hatte für die Subdomain "mail" noch einen alten TLSA Eintrag "*._tcp.mail", den ich in meiner Unordnung (kann man das DNS Panel irgendwie ordentlich bekommen?) nicht bemerkt habe. Dann habe ich einen CNAME Eintrag auch mit "*._tcp.mail" zur Hauptdomain gelegt, wo mittlerweile alle TLSA Einträge stehen.
Es ist aber natürlich nicht zulässig einen CNAME Eintrag neben einem normalen zu haben (Du sollst keine anderen Götter neben mir haben ..).
Deshalb konnte die Zone nicht mehr per DNSSEC signiert werden und das wurde automatisch abgeschaltet (natürlich ohne Meldung). Die Fehlermeldung, dass man 24h waren muss vor dem wieder aktivieren hat natürlich nicht besonders geholfen, den Fehler zu finden. Nach Entfernen des manuellen TLSA Eintrages konnte ich DNSSEC wieder aktivieren. Es wird noch alles mit "unknown" angezeigt, aber ich bin zuversichtlich, dass sich das bald gibt.
Der Fehler lag also klar auf meiner Seite, auch wenn ich mir eine etwas Aussagekräftigere Fehlermeldung gewünscht hätte (oder zumindest ein: "es könnte auch an einem Fehler in den Einträgen liegen")