为什么我的AWS ACM证书没有验证？

我有一个域名注册在AWS Route53与ACM证书。我现在试图将域名和证书都转移到一个新的帐户，以及用Terraform管理资源。我使用AWS CLI将域名移动到新的帐户，它似乎工作得很好。然后，我尝试运行这个Terraform代码为域创建一个新的证书和宿主区域。

resource "aws_acm_certificate" "default" {
  domain_name       = "mydomain.io"
  validation_method = "DNS"
}

resource "aws_route53_zone" "external" {
  name = "mydomain.io"
}

resource "aws_route53_record" "validation" {
  name    = aws_acm_certificate.default.domain_validation_options.0.resource_record_name
  type    = aws_acm_certificate.default.domain_validation_options.0.resource_record_type
  zone_id = aws_route53_zone.external.zone_id
  records = [aws_acm_certificate.default.domain_validation_options.0.resource_record_value]
  ttl     = "60"
}

resource "aws_acm_certificate_validation" "default" {
  certificate_arn = aws_acm_certificate.default.arn
  validation_record_fqdns = [
    aws_route53_record.validation.fqdn,
  ]
}

这有两件事很奇怪。首先，创建了证书，但验证从未完成。它仍处于待定验证状态。我在失败后的某个地方读到，您不能自动验证，您需要手动创建CNAME记录。所以我进入控制台，点击“将cname添加到路由53”按钮。这将CNAME记录适当地添加到Terraform创建的新Route53记录中。但已经悬而未决好几个小时了。我已经多次点击同一个按钮，只创建了一个CNAME，随后的点击没有效果。

另一个奇怪的，也许是一个线索，是我的网站仍然是运行和工作。我相信这应该破坏了网站，因为域现在由一个新帐户拥有，路由到该新帐户上的另一个托管区域，并且有一个证书现在仍然悬而未决。然而，一切仍照常运转。因此，我认为可能是旧的证书和宿主区域影响了这一点。他们是否需要释放域，我是否需要删除该证书？删除旧帐户上的证书听起来没有必要。我不应该再被送出去了。

我还没有将证书与Cloudfront或ALB关联，我打算这样做。但是由于它没有经过验证，所以我创建Cloudfront实例的Terform代码就会失效。