DNSSECを使用すると、CAが発行した証明書に対してDANEにメリットはありますか？

DANEは、公開鍵ピンニング（HPKP）と組み合わせて、現在のユーザーを悪意のある使用から保護できます（DANEレコードが変更された場合でも、ブラウザーはHPKPヘッダーを記憶し、接続に失敗します）。これは新しい接続を保護しません。ただし、HPKPの寿命は少なくとも1か月なので、「スタック」にかなりの安全性が追加されます。

DNSSecはDANEの要件であり、CAベースの証明書を持っているので、CAベースの証明書をDNSに公開することで、DANEベースの展開のサポートを示すことができますか？

もちろん！証明書のDANEレコードを使用して、正しい証明書を示し、MiTM攻撃の成功を防ぐことができます。

DNSと侵害されたルートに対する攻撃があった場合、各クライアントはどのように応答しますか？

ルートが侵害されたということは、ルートDNSサーバーのサーバーと証明書が侵害されたことを意味すると仮定します。残念ながら、この場合、解決策はありません。 DNSSECは役に立ちませんが、サイトの妨げになることもありません。幸い、このシナリオはほとんどありません。