Minden frissítésnél cserélni kell a DNS-ben a rekordok tartalmát, nem egyszeri a művelet. Csakis így lehet biztos benne a CA, hogy még mindig a kérelmező rendelkezik a DNS tartomány felett.
Javaslom nézzetek rá az acme.sh megoldásra a certbot helyett, mert rém egyszerű használni, mindenen megy, és például DNS téren vagy 20-30 fajta DNS-t támogat alapból. Pl. az ismert szolgáltatókon kívül van leírás/támogatás helyben futó BIND és PowerDNS-hez, stb.