Elsőre nekem is sok volt benne a CAA és a dns, aztán beugrott: van egy DNS alapú módja a tanusítvány kiadásnak (certbot helyett), amikor is "valamikor" csekkolják, többször hogy él-e a DNS-ek között a CAA. Szerintem ebben a challenge módban lehet(ett) a hiba, nem a certbot-osban.
https://letsencrypt.org/docs/challenge-types/
Köszi, hogy felhívtad erre a figyelmet!