CAA 和 CNAME 一起

我的 DNS 供應商不允許我為已定義 CNAME 記錄的主機名創建 CAA 記錄。我知道在使用 CNAME 時規範不允許其他記錄類型（有一些與 DNSSEC 相關的例外情況），但這似乎不正確……

仍然……為 CNAME 別名提供 CAA 記錄的最佳方式是什麼？

CAA 記錄應該遵循 CNAME，因此您需要 CAA 記錄作為 CNAME 記錄的目標。

引用https://letsencrypt.org/docs/caa/

CAA 驗證遵循 CNAME，就像所有其他 DNS 請求一樣。如果 www.community.example.com 是 web1.example.net 的 CNAME，CA 將首先請求 www.community.example.com 的 CAA 記錄，然後看到該域名有 CNAME 而不是 CAA 記錄，將改為請求 web1.example.net 的 CAA 記錄。請注意，如果域名有 CNAME 記錄，則根據 DNS 標準，不允許有任何其他記錄。

試圖“規避”這將無濟於事，因為即使您創建了與 CNAME 平行的非法 CAA 記錄，遵循規範的客戶端也會忽略它。

引用自：https://serverfault.com/questions/885952