As considerações de tempo discutidas nesse rascunho da Internet são para quando você está rolando de uma chave para outra, para dar tempo para que as assinaturas do ZSK anterior expirem dos caches. Não é necessário pré-publicar o ZSK quando você está assinando a zona pela primeira vez.
O que aconteceu aqui é que você disse para começar a assinar a zona usando apenas uma chave, o KSK. Como não havia outras chaves publicadas, ele assinou a zona inteira com a chave que tinha disponível, o KSK. (Isso é DNSSEC legal, mas não é a configuração típica. Se houvesse um ZSK ativo, ele teria assinado o registro DNSKEY com o KSK e assinado tudo com o ZSK sozinho, mas tinha que trabalhar com o que foi dado.)
Algum tempo depois, o ZSK foi publicado (mas não ativado), por isso foi adicionado ao registro DNSKEY, mas não usado para assinatura. Mais tarde ainda, o ZSK tornou-se ativo, mas os registros na zona já estão todos assinados naquele momento, então, o nome indica que não há necessidade de fazer nenhum trabalho agora. Quando as assinaturas do KSK se aproximam de seus tempos de expiração, elas devem ser automaticamente eliminadas da zona e substituídas por assinaturas do ZSK agora ativo. Desde que você tenha sig-validade-intervalo definido para um dia, isso deve começar a acontecer amanhã.
De qualquer forma, para seus objetivos, você só queria fazer duas chaves que foram publicadas e ativas imediatamente. Não é necessário pensar nos intervalos de pré-publicação até que você role as chaves.
Evan (autor principal do BIND 9.7)