Почитайте
спецификацию на ACME, там подробно описано, какие меры предпринимаются против возможных атак.
Если у атакующего есть доступ к DNS-записям домена или к настройкам веб-сервера/файлам сайта - разумеется, он может выпустить свой валидный сертификат. Но это примерно такой же провал безопасности, как и, по аналогии, физический доступ к машине - в таком случае ничего не поделаешь.
Чтобы подстраховаться от нелегитимных сертификатов - можно добавить
HPKP.