Du hast Dir Dein Unverständnis bereits selbst erklärt;
darum hier von der anderen Seite:
angenommen Du bist der erste der DNSSEC/DANE implementiert,
welches Zertifikat erwarten alle anderen, die es weder implementiert haben noch mangels Möglichkeit
es auch nicht validieren zu können?
Richtig: KEIN selbstsigniertes Zertifikat
d.h. so lange es nicht in ALLEN Browsern, Clients¹, ... entsprechend validiert wird,
sind in Bezug auf DANE selbstsignierte Zertifikate fehl am Platz;
¹ dazu zählen auch ausgehende Mailserver in Form von z.B. Postfix, EXIM, Sendmail, ...
ebenso Mailclients in Form von z.B. Outlook, Thunderbird, ...
nebenbei die DNSSEC-RFCs stammen aus den Jahren 2005/06,
wir reden hier also von 12-13 Jahren nach den RFCs ...