<div dir="ltr"><div>Hi there,</div><div><br></div><div>I'm currently struggling with the configuration of running acme.sh against a powerdns with dns_pdns on DNSSEC enabled zones.</div><div><br></div><div>First of all: Yes I know that my dns server is quite old (4.4.1) but for reasons beyond my control I can't upgrade that one at the moment. It's on the TODO but requires some other (non-technical) steps for it.</div><div><br></div><div>However... the powerdns is configured to serve my domain with DNSSEC, so it is configured with the following metadata items:<br><br>Metadata items: <br> SOA-EDIT        INCEPTION-INCREMENT<br>   SOA-EDIT-API    INCREASE<br></div><div><br></div><div>Normal operation works fine. The secondary dns gets the zone without problems and manual updates to the zone transfer as expected.</div><div><br></div><div>When I run acme.sh to renew a certificate within this zone, the API connection via dns_pdns works fine, the acme challenge gets inserted into the zone, but the serial is not increased and therefore the secondary does not get the notification to fetch the added acme challenge records, and so the validation from the letsencrypt servers fails.</div><div><br></div><div>So... is there any idea what I should test to fix this?<br>Any pointer (besides "upgrade your pdns") is welcome :-)</div><div><br></div><div><br></div><div>p-dns:~ # pdnsutil show-zone <a href="http://domain.net">domain.net</a><br>This is a Master zone<br>Last SOA serial number we notified: 2026020626 == 2026020626 (serial in the database)<br>Metadata items: <br>  SOA-EDIT        INCEPTION-INCREMENT<br>   SOA-EDIT-API    INCREASE<br>Zone has NSEC semantics<br></div><div><br></div><div>s-dns:~ # pdnsutil show-zone <a href="http://domain.net">domain.net</a></div>This is a Slave zone<br>Masters: <a href="http://1.2.3.4:53">1.2.3.4:53</a> [1:2:3:4]:53 <br>Last time we got update from master: Wed 2026-04-15 12:37:26<br>SOA serial in database: 2026040901<br>Refresh interval: 28800 seconds<br>Metadata items: <br>        PRESIGNED       1<br>Zone is presigned<br>Zone has NSEC semantics<br><div><br></div><div># dig +short @<a href="http://p-dns.domain.net">p-dns.domain.net</a> <a href="http://domain.net">domain.net</a> soa<br><a href="http://p-dns.domain.net">p-dns.domain.net</a>. <a href="http://hostmaster.domain.net">hostmaster.domain.net</a>. 2026040901 28800 3600 604800 86400</div><div><br></div><div># dig +short @<a href="http://p-dns.domain.net">p-dns.domain.net</a> <a href="http://domain.net">domain.net</a> soa<br></div><div><a href="http://p-dns.domain.net">p-dns.domain.net</a>. <a href="http://hostmaster.domain.net">hostmaster.domain.net</a>. 2026040901 28800 3600 604800 86400<br></div><div><br></div><div>Regards</div><div>Frank</div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div>FA-RIPE || <a href="https://linktr.ee/frank42" target="_blank">https://linktr.ee/frank42</a><br></div></div></div></div></div>