Мой поставщик DNS не позволяет мне создавать запись CAA для имени хоста, для которого уже определена запись CNAME. Я понимаю, что спецификации не позволяют использовать другие типы записей при использовании CNAME (с некоторыми исключениями, связанными с DNSSEC), однако это не кажется правильным ...
Тем не менее ... Как лучше всего предоставить запись CAA для псевдонима CNAME?
Записи CAA должны следовать за CNAME, поэтому вам нужна запись CAA для цели записи CNAME.
Цитируя https://letsencrypt.org/docs/caa/
Проверка CAA следует за CNAME, как и за всеми другими запросами DNS. Если www.community.example.com является CNAME для web1.example.net, центр сертификации сначала запросит записи CAA для www.community.example.com, а затем увидит, что для этого доменного имени существует CNAME, а не записи CAA, вместо этого будет запрашивать записи CAA для web1.example.net. Обратите внимание, что если доменное имя имеет запись CNAME, ему не разрешается иметь какие-либо другие записи в соответствии со стандартами DNS.
Попытка «обойти» это не принесет пользы, потому что даже если вы создали недопустимую запись CAA параллельно CNAME, клиенты, следующие спецификации, просто проигнорируют ее.