Ich kenne keinen Automatismus, der beim Aufrufen einer Website die CT-Logs überprüft. Bei der Übermittlung von Mails zwischen Mailservern findet das ebenfalls nicht statt. Insofern reden wir hier eher von einer theoretischen Hürden, weniger von einer praktischen.
Und ja, du kannst als Betreiber die CT-Logs prüfen. Dumm ist nur, dass ein von einem staatlichen Angreifer gefälschtes Zertifikat nicht in einem CT-Log auftaucht. Es funktioniert also nur der umgekehrte Weg: Der angegriffene Benutzer muss prüfen, ob das ihm präsentierte Zertifikat im CT-Log auftaucht. Und genau diese Prüfung findet nicht statt.
Wenn Du als Angreifer die DNS-Antworten manipulierst, manipulierst bzw. entfernst du natürlich auch die Signatur. Der Angegriffene müsste also wissen, dass der von ihm aufgerufene Dienst DNSSEC verwendet und kann dann feststellen, dass die Signaturen fehlen.
DNSSEC schützt also nicht vor allen Angriffen. DANE auch nicht. So lange DNSSEC nicht flächendeckend genutzt wird, bleibt die Manipulationsmöglichkeit durch Entfernen der Signaturen. Man erwartet ja nicht zwingend DNSSEC. Die Records für DANE kann ich ebenfalls entfernen, schließlich ist es derzeit der Normalfall, dass derartigen Records nicht vorhanden sind.
Und ja, ideal ist beides: DNSSEC, um vor Manipulation zu schützen, DOT oder DOH für die Privatsphäre. Beides kann man wunderbar kombinieren. Dazu dann noch ESNI oder ECH, um ein Maximum an Privatsphäre zu erhalten.
Um auf den Ursprungspost zurückzukommen: DNSSEC schützt nicht vor allen Angriffen. Rufst du einen (unerwünschten) Dienst auf, weil du dich vertippst oder auf einen fehlerhaften bzw. manipulierten Link klickst, bekommst du ein gültiges Zertifikat, welches auch im CT-Log zu finden ist, auch die Einträge im DNS für DNSSEC und DANE sind absolut in Ordnung. Trotzdem bist du mit einem Dienst verbunden, mit dem du eigentlich nicht sprechen wolltest. Eine erfolgreiche Prüfung der DNS-Signaturen reicht also nicht aus, um von der „Echtheit einer Website“ ausgehen zu können.