А я разве сказал, что было? Я про то, что CF очень вольно обращается с вопросами безопасности, которыми я, как хозяин домена, должен управлять единолично или делегировать это кому-либо. Но я не делегировал. Хотя, скорее всего, в простыне соглашения с CF есть еще и не то...
Да если вы не пользуетесь их сервисом проксирования и защиты от DDoS, а используете их только как DNS-хостера, отметив все A-записи как непроксируемые, то это неправильное с их стороны поведение.
Но, думаю, это очень нетипичный юзкейс.
У меня, только что посмотрел, CAA содержит ровно то, что ожидалось: мою запись CAA с letsencrypt-ом для origin-сервера и еще дополнительные pki.goog, comodoca.com и digicert.com, которые они используют для выдачи самим себе сертификатов для прокси. Если бы они так не делали - вам пришлось бы давать им свой секретный ключ от вашего основного сертификата, а это явно гораздо хуже.
