Для защиты от ситуации с двумя(и больше) сертификатами можно прописать в
CAA DNS запись только те CA которым вы разрешаете выпуск сертификатов для вашего домена.
Технически, от описанной вами ситуации это не защитит, но усложнит ее реализацию: если вы ограничите выпуск сертификата только определенными CA, то и злоумышленнику либо придется дописывать в ваш DNS запись для другого CA(того же LE) или выпускаться на разрешенном CA. А там этот домен зарегистрирован на вас