Can any CA sign any cert for any domain?
In generale, sì. I certificati di root attendibili sono considerati attendibili per qualsiasi cosa nella root.
If the answer is yes, what prevents having two different CAs creating a valid cert for the same domain?
Nulla: è assolutamente legittimo per te, proprietario di example.com, ottenere un certificato per www.example.com emesso da una raccolta di CA: Comodo, Entrust, Thawte, chiunque. (Di solito non lo faresti, perché è una spesa aggiuntiva senza alcun guadagno per te, ma non c'è nulla che ti fermi. Questa situazione di solito si verifica quando un'organizzazione vuole passare dall'utilizzo di una CA a un'altra; durante il cutover, di solito hanno certificati validi da entrambe le CA per lo stesso set di nomi.)
La vera preoccupazione qui è "ciò che impedisce l'emissione di un certificato fraudolento da parte di CA X quando un certificato valido è già stato rilasciato da CA Y". E in questo caso, il problema non è che un certificato possa essere emesso da più CA, è che un certificato può essere emesso in modo fraudolento. Lo scopo di "CA attendibile" è che ci si fida che le CA siano diligenti nell'emissione di certificati a acquirenti validi e non a acquirenti non autorizzati.
Does that mean that the whole TLS security has the same level of security of the least secure CA?
Yup! (A meno che tu non stia bloccando). È una debolezza legittima del sistema CA. (E la debolezza qui, per essere chiari, è che qualsiasi CA può essere ingannevole o malvagia e rilascia certs che non appartengono - non che possono farlo se esiste già un certificato in quel nome).