No es necesario que renueve las llaves. A diferencia de los registros RRSIG, las claves DNSSEC y las firmas DS correspondientes no tienen fecha de vencimiento.
KSK (Claves de firma clave):
Usted puede optar por Rotar claves de vez en cuando, los motivos para ello puede ser, por ejemplo, que posiblemente sus llaves robadas y que no saben. Si su KSK se mantiene fuera de línea y, por lo tanto, es poco probable que se vea comprometido, no hay necesidad real de rotar KSK.
ZSK (claves de firma de zona):
Para rotar aquellos que no necesita su proveedor de dominio, por lo tanto, es mucho más fácil rotar. Aunque si los ZSK también se mantienen lo suficientemente seguros, no hay necesidad real de rotarlos también.
El siguiente RFC es la fuente de varias recomendaciones relacionadas con DNSSEC:
RFC 4641 - Prácticas operacionales DNSSEC, Versión 2
.... un período de efectividad razonable para los KSK que tienen registros DS correspondientes en la zona principal es del orden de 2 décadas o más . Es decir, si uno no planea probar el procedimiento de reinversión, la clave debería ser efectiva esencialmente para siempre y solo reinvertirse en caso de emergencia.
DNSSSEC tiene el concepto de claves de firma de zona que tendría en sus 30 días señalados (con cierta superposición). Las claves que envió al registrador se denominan Claves de firma de claves y pueden tener un horario de rotación diferente.
Creo que incluso podría crear varios ZSK firmados con su KSK, y luego mantener el KSK fuera de línea.
fuente