La seguridad TLS se reduce a cuánto confía un emisor. Sin embargo, es matemáticamente posible reducir la dependencia del emisor del certificado raíz si el tráfico tiene doble cifrado: con dos certificados de dos emisores independientes (o más).
¿Hay algún enfoque práctico para hacer esto? ¿Hay alguna demanda para ello?
... si el tráfico tiene doble cifrado: con dos certificados de dos emisores independientes (o más).
El tráfico no está cifrado con los certificados. Los certificados se utilizan principalmente para la autenticación, es decir, para verificar que el cliente está hablando con el servidor correcto. El par de claves de los certificados hoja también se usa dentro del intercambio de claves RSA pero no con el intercambio de claves DHE o ECDHE.
Si bien el doble TLS que usted propuso sería una manera de no confiar demasiado en una única CA, tendría que ser respaldado por todos los clientes. Pero, dado que el cifrado en sí no es el problema, sino la autenticación, sería mucho mejor y con menos gastos para hacer que la parte de autenticación sea menos dependiente de una única CA. Y esta es la dirección donde se realizan las mejoras en los navegadores de hoy. Si bien no es posible firmar directamente el mismo certificado por múltiples CA uno puede usar transparencia de certificados o proyectos como Convergencia para una validación extendida del certificado. También existen estándares como DANE como reemplazo de la PKI actual o para una validación adicional y fijación de certificados también ayuda en este sentido.
Lea otras preguntas en las etiquetas encryption tls