Требуется ли поддерживать зону DNSSEC в актуальном состоянии?

Я нашел следующее руководство о том, как настроить DNSSEC с помощью DNS-сервера NSD и утилит ldns: https://www.digitalocean.com/community/tutorials/how-to-set-up-dnssec-on-an-nsd-nameserver-on-ubuntu-14-04

В основном он предусматривает следующие шаги:

1. Создайте ZSK и KSK с помощью ldns-keygen
2. Подпишите зону с помощью ldns-signzone с указанными выше ключами
3. Укажите NSD на подписанную версию файла зоны и перезагрузите конфигурацию
4. Записать записи DS для домена субъекта на панели регистратора
5. Используйте предоставленный скрипт (dnszonesigner) всякий раз, когда вы меняете свою зону (неподписанный файл)

И все это прекрасно работает. Однако есть комментарий: «Вы думали о том, как сохранить подписанную зону свежей? Срок действия RRSIG истечет, и его следует обновлять вовремя. Другими словами, подписанная зона должна выходить из строя каждый раз».

Это правильное замечание? Я нигде не могу найти информацию об устаревании зон DNSSEC. Если все правильно, следует ли мне просто запускать скрипт dnszonesigner через cron, если да, как часто мне следует это делать? Что будет (и когда), если я этого не сделаю? Будут ли распознаватели с поддержкой DNSSEC, такие как Google Public DNS, по-прежнему предоставлять правильные ответы для записей в моей зоне?