Eu acredito que o que você pensa acontece não é o que realmente acontece. Vamos Criptografar segue a versão atual do rascunho do ACME do Grupo de Trabalho IETF ACME . Nesse rascunho, na seção 8.5 ele exige o uso de uma string aleatória (fornecido no desafio) e a chave da conta como o primeiro passo na criação do valor do registro TXT.
A client responds to this challenge by constructing a key authorization from the “token” value provided in the challenge and the client’s account key. The client then computes the SHA-256 digest [FIPS180-4] of the key authorization.
A posse da chave da conta e o controle do DNS devem ser suficientes para comprovar o controle sobre o domínio e a conexão com a conta que solicita o certificado. A chave pública associada à conta não é exposta no DNS e é mantida por LE, enquanto a chave privada deve ser mantida em segurança no próprio servidor, como qualquer outro chave privada.
Então, suas perguntas finais, Existe uma razão técnica pela qual nenhuma abordagem de assinatura é usada? Se não, qual é a razão pela qual o LetsEncrypt não o implementa? parece ter perdido o ponto. Uma assinatura é usada.