dig [zone] dnskey
Isso mostrará se há o RRset DNSKEY requerido na zona que será usada para validar os RRsets na zona.
Se você quiser ver se o seu servidor recursivo está validando a zona,
dig +dnssec [zone] dnskey
Isso definirá o bit DO (dnssec OK) na consulta de saída e fará com que o resolvedor upstream configure o bit AD (dados autenticados) no pacote de retorno se os dados forem validados e também fornecerá os RRSIGs relacionados (se a zona em questão é assinada), mesmo que não seja capaz de validar a resposta.
Você pode querer dar uma olhada no último grupo de slides no meu "DNSSEC em 6 Minutos "apresentação (muito sobre a depuração de DNSSEC). Essa apresentação é um pouco extensa sobre a implementação do DNSSEC (você deve realmente olhar para o BIND 9.7 para as coisas boas), mas a depuração mudou pouco.
Também há uma apresentação que fiz no NANOG 50 sobre a implantação do BIND 9.7 DNSSEC .