Sono tecnologie molto diverse e non si fidano l'una dell'altra. In effetti, alcuni argomenti trovano DNSSEC non necessario in generale. Direi di no, DNSSEC non è necessario se HSTS è usato correttamente (lunga durata, precaricato). La maggior parte dei client non usa nemmeno DNSSEC, quindi gli effetti di averlo potrebbero essere minimi.
Penso che tu abbia ragione nell'osservare che gli effetti di DNSSEC su un sito web servito su HTTPS con HSTS configurato sono minimi. In questo caso, indipendentemente dal fatto che la risposta DNS sia corretta, il browser rifiuterà di caricare il sito Web a meno che non fornisca un certificato valido (supponendo che il sito Web sia presente nell'elenco precarico HSTS o che il browser lo abbia già visto).
Si noti inoltre che queste tecnologie funzionano su diversi livelli sul client. Sebbene il browser sia a conoscenza della situazione HTTPS / HSTS, non conosce o non si preoccupa dello stato di DNS / DNSSEC, in quanto generalmente viene gestito dal resolver del sistema operativo o da un server upstream. Senza utilizzare un'estensione del browser per DNSSEC, è possibile comunicare solo se è stata ricevuta o meno una risposta.
DNSSEC brilla in altri scenari non Web. Un esempio, nel regno della posta, è DANE (autenticazione basata su DNS di entità nominate). Usa il DNS per recuperare le informazioni del certificato per vari server. DNSSEC è fondamentale qui per proteggere il traffico DNS da manomissioni, poiché tale manomissione consentirebbe ad un avversario di sostituire l'impronta digitale del certificato. Altre applicazioni non web potrebbero avere requisiti simili per l'integrità del DNS.