Мой поставщик DNS не разрешает мне создавать запись CAA для имени хоста, для которого уже определена запись CNAME. Я понимаю, что спецификации не позволяют использовать другие типы записей при использовании CNAME (с некоторыми исключениями, связанными с DNSSEC), однако это кажется неправильным ...
Тем не менее ... Как лучше всего предоставить запись CAA для псевдонима CNAME?
Записи CAA должны следовать за CNAME, поэтому вместо этого вам понадобится запись CAA для цели записи CNAME.
Ссылаясь на https://letsencrypt.org/docs/caa/
Проверка CAA следует за CNAME, как и за всеми другими запросами DNS. Если www.community.example.com является CNAME для web1.example.net, центр сертификации сначала запросит записи CAA для www.community.example.com, а затем увидит, что для этого доменного имени существует CNAME, а не записи CAA, вместо этого будет запрашивать записи CAA для web1.example.net. Обратите внимание, что если в доменном имени есть запись CNAME, ему не разрешено иметь какие-либо другие записи в соответствии со стандартами DNS.
Попытка «обойти» это не поможет, потому что даже если вы создали незаконную запись CAA параллельно к CNAME, клиенты, следующие спецификации, просто проигнорируют его.