Вы не обязаны продлевать ключи. В отличие от записей RRSIG, ключи DNSSEC и соответствующие подписи DS не имеют срока годности.
KSK (Ключи для подписи ключей):
Вы можете время от времени поворачивать ключи, например, причина может заключаться в том, что ваши ключи могут быть украдены, а вы не знаете. Если ваш KSK хранится в автономном режиме и, таким образом, вряд ли будет скомпрометирован, нет никакой необходимости вращать KSK.
ЗСК (Ключи подписи зоны):
Чтобы повернуть тех, кто вам не нужен, ваш провайдер домена, таким образом, гораздо проще повернуть. Хотя, если ZSK также достаточно безопасны, то нет необходимости их вращать.
Следующий RFC является источником различных рекомендаций, связанных с DNSSEC:
RFC 4641 - эксплуатационные практики DNSSEC, версия 2
.... разумный период действия для KSK, имеющих соответствующие записи DS в родительской зоне, составляет порядка 2 десятилетий или более . То есть, если вы не планируете тестировать процедуру переворачивания, ключ должен действовать практически вечно и только переворачивается в случае крайней необходимости.