Você não precisa renovar as chaves. Diferentemente dos registros RRSIG, as chaves DNSSEC e as assinaturas DS correspondentes não têm data de expiração.
KSK (chaves de assinatura de chaves):
Você pode optar por girar as chaves de tempos em tempos; por exemplo, é possível que as chaves sejam roubadas e você não saiba. Se o seu KSK é mantido offline e, portanto, improvável de ser comprometido, não há necessidade real de rodar o KSK.
ZSK (chaves de assinatura de zona):
Para rotacionar aqueles que você não precisa do seu provedor de domínio, é muito mais fácil alternar. Embora se os ZSKs também forem mantidos seguros o suficiente, não há necessidade real de girá-los também.
O seguinte RFC é a fonte de várias recomendações relacionadas ao DNSSEC:
RFC 4641 - Práticas Operacionais DNSSEC, Versão 2
.... a reasonable effectivity period for KSKs that have corresponding DS records in the parent zone is of the order of 2 decades or longer. That is, if one does not plan to test the rollover procedure, the key should be effective essentially forever, and only rolled over in case of emergency.