CAAとCNAMEを一緒に
DNSサプライヤーが、CNAMEレコードがすでに定義されているホスト名のCAAレコードを作成することを許可していません。 (一部のDNSSEC関連の例外を除いて)CNAMEが使用されている場合、仕様では他のレコードタイプが許可されないことを理解していますが、これは正しくないようです...
それでも... CNAMEエイリアスのCAAレコードを提供する最良の方法は何でしょうか?
CAAレコードはCNAMEの後に続くことになっているため、代わりにCNAMEレコードのターゲット用のCAAレコードが必要です。
引用 https://letsencrypt.org/docs/caa/
CAA検証は、他のすべてのDNSリクエストと同様に、CNAMEに従います。 www.community.example.comがweb1.example.netへのCNAMEである場合、CAはまずwww.community.example.comのCAAレコードを要求し、次にCAAレコードの代わりにそのドメイン名のCNAMEがあることを確認します。代わりにweb1.example.netのCAAレコードを要求します。ドメイン名にCNAMEレコードがある場合、DNS標準に従って他のレコードを持つことはできません。
これを「回避」しようとしても、CNAMEと並行して不正なCAAレコードを作成したとしても、仕様に従うクライアントはそれを無視するだけなので、役に立ちません。