O principal problema em não sinalizar sua zona é que os registros do DS devem ser removidos da zona pai com bastante antecedência antes de você desinscrever sua zona - você deve esperar que esses registros expirem dos caches antes de remover sua DNSKEYs e RRSIGs. Se algum cache, por algum motivo, mantém registros do DS, ele se recusará a usar sua zona não assinada.
Além disso, se você (ou seja, resolvedores que consultam sua zona) usam o DLV, sua zona também deve ser removida do DLV. Hoje ninguém deveria usar o DLV. IMHO.
É quase o mesmo no DNS "normal" - quando você deseja alterar um servidor de nomes, remove antigos servidores de nomes somente depois que o NS TTL expira.
O maior problema com DNSSEC é que as pessoas pensam que é algo extremamente complexo. NA MINHA HUMILDE OPINIÃO. O DNSSEC não é mais complicado que o DNS e o SSL, e todos usam os dois, nem mesmo sabendo que são complicados.