Os registros da CAA devem seguir os CNAMEs, portanto, você precisa de um registro da CAA para o destino do registro CNAME.
Citando o link
CAA validation follows CNAMEs, like all other DNS requests. If www.community.example.com is a CNAME to web1.example.net, the CA will first request CAA records for www.community.example.com, then seeing that there is a CNAME for that domain name instead of CAA records, will request CAA records for web1.example.net instead. Note that if a domain name has a CNAME record, it is not allowed to have any other records according to the DNS standards.
Tentando "contornar" isso não seria útil, porque mesmo que você criasse um registro ilegal de CAA paralelo ao CNAME, os clientes que seguem a especificação simplesmente o ignorariam.