Stačilo v době, kdy LE mělo chybu, mít nastavené CAA jinam
Nestačilo.
Při kompromitaci bezpečnosti není úvahovým postupem dokazovat, že ke kompromitaci skutečně došlo, ale s jistotou vyvrátit že k ní dojít nemohlo.
S jistotou to nevíte nikdy. A já bych v tomto případě rozhodnutí nechal na držiteli domény. Pokud CAA nastavil zpět na LE, považoval bych to za dostatečný důkaz, že LE důvěřuje a že mu nevadí certifikát na doménu vystavený LE.
Když selhala funkce ověření CAA, mohlo to způsobit kompromitaci a z toho je jediným vyústěním revokace.
Nikoli, dalším vyústěním je například zpětné schválení certifikační autority.