Два SSL-сертификата на один домен и MITM с валидным сертификатом?

Гипотетическая ситуация - злоумышленник на неопределённое время захватил управление доменом, и получил простой SSL-сертификат, вроде positivessl или letsencrypt. Т.е. гипотетически в данный момент существует 2 валидных сертификата на один и тот же домен от разных поставщиков.

В связи с этим несколько вопросов:
1) Существуют ли технические ограничения на выпуск двух и более SSL-сертификатов от разных поставщиков на один домен? Поставщики как-то проверяют, что сертификат уже был выпущен другим поставщиком?
2) Возможен ли сценарий атаки "Man in the middle", при котором злоумышленник (предположим) отравляет кэш DNS, перенаправляет пользователей на свой сервер с валидным сертификатом, на котором стоит прокси вроде mallory, и который уже в свою очередь отправляет запросы настоящему "официальному" серверу? Т.е. в этой гипотетической ситуации ни клиент, ни официальный сервер не могут распознать MITM, т.к. клиент видит валидный сертификат, официальный сервер же не знает что он общается с другим сервером.
3) Возможно ли как-то узнать, что существуют "другие" сертификаты на тот или иной домен, и/или запретить выпуск более 1 сертификата? Возможно ли защититься от гипотетической атаки из вопроса 2, если таки второй сертификат был выпущен?