При получении ключа для domaindiscount24.net, Я получил:
domaindiscount24.net. 3600 IN DNSKEY 257 3 7 AwEAAeKb+f8Taftu3DLQEVeHJTarZBQwZ9M1B9LpzldumDNwdLf3poYjcE04z30wQSw8NG+XXBaEzJ/vVXQFUsICDlG88HcOQD5/S5WE9sWmHEGKwj1lwzLvfxcBUiOqYEUaI+4xa4EGTuPxKq+No5zutiewaioXqPNRAr0oLCUgl3wUP83+f1RWBHmYkvSyvCprnI++sTl3mjvqMoDxgnZmFexYEuD3RUZDbeSpnbGF9xWuUF7Eiyv8/plQKLaGHFVfc2UKFgvHgZEwGjbu4M15Hr+khZsyAv321LLcNfJMmMQWvWzd7Ls8lgKU721W7BOGMbKT1a+R5JEBsMJEoOd6EhU=
domaindiscount24.net. 3600 IN DNSKEY 256 3 7 AwEAAb5e1OpMWHZWshn3YVZNuE1mjFfIHXMzBHTh/b2bFrp+IuJ/ruylT+lRkljmSTnLhUcf1ISTU9E+PIjGxm20/mbnZl42YNCcklc30kGFxLrrhCw+qckaepwCWwoDlKsWre8yBFAw0y1co093IP6qSZuDkBU7wrz7x6ltVjfk95/b
domaindiscount24.net. 3600 IN DNSKEY 257 3 7 AwEAAbqzUHscKrAbgQArh8FkVBz6ToXfWn4hy89zqizcpEX5y16XdNf5OtG8HOU5V3LG0nS6SlSbLFamzWQMliuIt0cRWIiK1XjMYrWWKWODWw1mUqVvlnhtoGDxXroW1HWjrSAX15KWJozOLvaBHRFEiVbldlfFAoEwtuYocjIU8uzyxQxjyNgfwppe2/ZB7ceFNOvF3nJrTrfjWLtRE/srfAIdCefdcnKx4y8PUo1YL0TfJDYhzmFy5ewJxn1Oa0eXl8HONGFiWMo71q+ZqdZ+157UfQPz9uinrzs/MN/u+aREIH0Gxibx6wEczRw5GGiYyw5ETuK5GZlIU03y2KivAnk=
domaindiscount24.net. 3600 IN DNSKEY 256 3 7 AwEAAaVi/p34WjJ5qNa8hnjVm4c1/6iyX9+XrYIGvY8skrVcJuJDBB3OUPgrpCNgjpguTtDKGECmBv2qMkxa2D5HKM/rn6S9o4TAsWKsR/IJDA0DF2VF6RR5ZnNHj/a13de0E3OD1X9iDlCc9sIz+R8OIJyRGpAdVFlFtNURbP7FTUBr
domaindiscount24.net. 3600 IN RRSIG DNSKEY 7 2 3600 20200612203538 20200529125353 11133 domaindiscount24.net. qnDCvLJ1N3/0ClXYDarJKjyf/k2fFGhzOj1ubMZqNalPqkRyiwS/IdktKRQOPanSCClLpQ335/t/9ACPwuhWBd8KZEEcA6xWwnKj0xF2FaPfvjyoo2Co/nj4cSdJHIVgYzwHQb6rcNeHpX1Leamt7tCC+ynCnj4PGoOppiOdr6NKNVn0Av1T+ZzjoC/tKCq8iI/nt74sYuC11gML6shtbMOB5PqJwWA6haJ8Vd/fIDE30bj1T2LFdF/A2NwO8htuZxwf/QICtPuHe7J92aqBM5s3gbl8Vkml7yiLdKglVMBWa3me+hybuQF7Ox+UWEUr3g3NGLzeXbELvbyHG2yzlA==
domaindiscount24.net. 3600 IN RRSIG DNSKEY 7 2 3600 20200612203538 20200529125353 33205 domaindiscount24.net. VgDc41jBAYpW7k/6cfRSsTPJAyj4xvVUQxJTBaQnm1HvpWwpFusQp47HXS686F4WQbvra3ADwvBf6VolITc/qjjcGsOPl6jDAxuJzBdbmY1Ys9J2zpziiOgljBKTRn6Unl20h2+uN4Klm7PULT7yptRQozOAnjb8u1WsUlvbfNdT9unsxODpgXOM9b2LnQHTN1C5mxR+IoaAhM5GwebQyFq0FF2J/XAwrvPmAiV6aYr9vttkCQP2V3xlJeCqT9D8Hdfe0K1Ci2phEgdruSRbjuadoGcm4mY7svLzqJlY+zrf2391vMIDlyd1Hs37ztbbbgL4BvBKmBlYQ53bLG1HFA==
Однако для этого нет регистра DS. domaindiscount24.net:
;; QUESTION SECTION:
;domaindiscount24.net. IN DS
;; AUTHORITY SECTION:
net. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1591688573 1800 900 604800 86400
Как можно иметь KSK, но не записывать DS? как мы должны проверять KSK?
Вы не должны проверять KSK.
Отсутствие DS в пункте делегирования с действительным доказательством отсутствия (актуально NSEC/NSEC3 с действительным RRSIG), является сигналом о том, что это небезопасное делегирование и что дочерняя зона не подлежит проверке.
То есть, не только нет средств проверки, вы должны найти доказательство того, что эта зона "небезопасна" и не должна проверяться.