AWSから「ACMで取得したrita.xyzの証明書、このままだと自動更新されないよ、DNSでの認証に切り替えるか、ドメイン管理者宛に送ったメール確認してね」というメールが来ていたのでDNSでの認証に切り替えて再発行したのは秘密。メールによる認証で発行されたものからDNS認証に直接切り替えることはできないので、新たにDNS認証で証明書をリクエスト、発行完了後CloudFront側にて新たな証明書に付け替える形になる。rita.xyzはDNSにRoute53を使用しているので、認証用のCNAMEレコード追加はSESのドメイン認証と同じくレコード追加ボタンをポチっと押すだけである。メール認証とは違い、認証用のCNAMEレコードがあり、かつAWSのサービスで使用されていれば何もせずとも自動更新されるようになる。