On n'a pas le fin mot de l'histoire, mais le diagnostic technique est intéressant.
Comme l'"attaquant" était entre le serveur et Internet, il a pu générer des certificats x509 Let's Encrypt avec un autre compte LE et, peut-être, une autre méthode de validation parmi celles proposées par LE. Un enregistrement DNS CAA est impuissant, sauf à utiliser les extensions pour préciser quel compte doit être utilisé (sous réserve que l'attaquant ne modifie pas les paquets DNS ;) ). DNSSEC + DANE TLSA auraient aussi protégés (serveur non compromis et je crois assez peu à la signature à la volée des réponses DNS).