DNS validation bij SSL Certificaten

Ik heb (via AWS-route53) een DNS entry (CNAME) voor app.a.com die verwijst naar app.b.com.
Dat werkt, echter niet secure, dus ik regel een SSL-certificate voor app.a.com.

Ik heb geen zeggenschap/toegang tot de applicatieserver bij app.b.com, dus ik kies voor DNS-validatie tijdens aanvraag van certificaat.

Mijn CA_provider zegt dat ik een TXT record moet aanmaken tbv app.a.com met de door hun aangegeven validatie-key als value.

Route53 zegt dat kan ik niet, want er bestaat al een CNAME entry voor deze domeinnaam app.a.com.

Deze verwijderen, valideren en weer toevoegen is een workaround, echter bij renewals hebben mijn gebruikers dan mogelijk tijdelijk geen toegang.

Mijn vraag is aldus:
Kan ik op een andere manier de DNS entry regelen zodat deze los van TXT record op zelfde domainnaam altijd de forward blijft doen ?
Ik kan vermoedelijk niet naar een A record want die vereist een IP-adres, en de target app.b.com (externe dns naam van bedrijf b) daar zit vermoedelijk een cloudfront-portal (aws-dns naam van extern bedrijf b achter)

We hebben een rare usecase, waarbij bedrijf b (welke b.com host en dus ook de applicatieserver van app.b.com runt) aan bedrijf a "het certificaat" opvraagt.
Pogingen om bedrijf b het certificaat voor app.a.com te laten aanvragen / regelen zijn vooralnog nogo.

Mijn vraag is dus:
Kan ik app.a.com laten (dns-) forwarden naar app.b.com op een of ander manier waarbij ik toch een DNS-type TXT record kan aanmaken voor dezelfde host app.a.com (tbv. de dns verificatie)

Dank !
ter info:
Blijkt een Digicert achter de schermen te zitten in mijn geval, dan moet het _dnsauth.app.a.com zijn !