Názor k článku Mozilla rozhodla: zítra přestane věřit CA WoSign a StartCom od Lojzak - Ano,TLSA záznamy, tím můžeš pořešit tvůj certifikát i...

Ano,TLSA záznamy, tím můžeš pořešit tvůj certifikát i certifikační autoritu. Abys zabránil vydání nového certifikátu od jiné CA, použij CAA záznam (v praxi tě ale nechrání proti evil CA).
Zapsat DNSSEC klíče natvrdo se asi nedá, protože KSK i ZSK mají relativně krátkou životnost a musí se měnit.
Kontrola DNSSEC z více zdrojů ničemu nepomůže.
Browsery přímo řvát neumí, při změně certifikátu u často navštěvovaného webu, ale existuje doplněk Certificate Patrol. Je ale nutné vychytat nastavení, aby ti to nedávalo plané poplachy.
Weby jako Google budou používat pořád desítky cerifikátů, protože jsou hostovány na velkém množství aplikačních serverů a není praktické ani bezpečné sdílet mezi nimi privátní klíč.

Jestli ti záleží na bezpečnosti, podívej se na HPKP, ale dobře si rozmysli jeho nasazení, protože to s sebou nese velká rizika.