Все.
Поскольку у родителя есть ДС запись, которая, в общем, является хэшем KSK. Следовательно, при следовании по цепочке доверия рекурсивное разрешение будет получать это ДС запись от родителя и будет получать DNSKEY запись от ребенка и проверит наличие хотя бы одного ключа в DNSKEY запись, соответствующая ДС запишите, а затем продолжите проверку (или сразу провалите ее).
Согласно §2.1.1. RFC4034, каждый DNSKEY запись имеет атрибут флагов, который позволит распознавателю узнать, предназначен ли данный криптографический материал для ключа зоны или ключа подписи ключа.
Обратите внимание, что разделение KSK/ZSK является распространенным, но не единственным случаем. У вас также есть ситуация CSK с C = Common, где у вас есть один ключ, который напрямую подписывает все другие записи, а также имеет соответствие ДС запись у родителей.
Оба являются допустимыми установками, с различными преимуществами и недостатками.
Также обратите внимание, что DNSKEY набор записей может даже содержать ключи, которые еще не использовались для подписи и не находились у родителя в ДС запись, что происходит например при ротации (сначала нужно ввести ключ в зону и дать его кешировать резолверам, потом через какое-то время можно начинать с ним подписывать, а потом опять через какое-то время можно включать соответствующие ДС запись при необходимости).
