Die TLSA-Records müssen gar nicht zur nächsten Hierarchieebene propagieren. Das bezog sich auf den Austausch des KSK und ggf. ZSKs. Wenn du die DNS-Server von netcup nutzt, hast du sehr sehr wahrscheinlich eh nur den Haken im CCP gesetzt, und um darum kümmert sich dann netcup.
Mit der Frage, ob die netcup-DNS-Server eine eigene API haben, habe ich mich noch beschäftigt. Vielleicht liest jemand den Thread zufällig, aber bis jetzt ist mir noch nichts in der Richtung bekannt.
Ich betreibe mittlerweile meine eigenen DNS-Server mit Backup durch Freunde
Zurück zu netcup: Meinem Kenntnisstand nach gibt es zur Zeit noch keine API oder andere Möglichkeit um die DNS-Einträge auf den Netcup-DNS-Server automatisiert zu aktualisieren. Vielleicht kommt etwas mit dem Echtzeitregistrierung mit (forum.netcup.de/netcup-intern/produkte/p80253-beta-domains-jetzt-live-im-ccp-bestellbar)