Preciso renovar as chaves que eu coloquei no meu provedor de domínio?

Você não precisa renovar as chaves. Diferentemente dos registros RRSIG, as chaves DNSSEC e as assinaturas DS correspondentes não têm data de expiração.

KSK (chaves de assinatura de chaves):

Você pode optar por girar as chaves de tempos em tempos; por exemplo, é possível que as chaves sejam roubadas e você não saiba. Se o seu KSK é mantido offline e, portanto, improvável de ser comprometido, não há necessidade real de rodar o KSK.

ZSK (chaves de assinatura de zona):

Para rotacionar aqueles que você não precisa do seu provedor de domínio, é muito mais fácil alternar. Embora se os ZSKs também forem mantidos seguros o suficiente, não há necessidade real de girá-los também.

O seguinte RFC é a fonte de várias recomendações relacionadas ao DNSSEC:

RFC 4641 - Práticas Operacionais DNSSEC, Versão 2

.... a reasonable effectivity period for KSKs that have corresponding DS records in the parent zone is of the order of 2 decades or longer. That is, if one does not plan to test the rollover procedure, the key should be effective essentially forever, and only rolled over in case of emergency.

O DNSSSEC tem o conceito de Chaves de Assinatura de Zona que você teria em seus notáveis 30 dias (com alguma sobreposição). As chaves que você enviou para o registrador são chamadas Chaves de assinatura de chaves e podem ter um cronograma de rotação diferente.

Acho que você poderia até mesmo criar vários ZSKs assinados com o seu KSK e manter o KSK offline.