Nach Installation der DNSSEC Tools mit
apt install dnssec-tools
kann man mit dem einem kleinen Script den DS Record aktualisieren:
getds -p -a SHA256 .|grep 'IN[[:space:]]*DS' > root.key
Wenn an dieser Stelle bereits ein validierender Resolver verwendet wird, dann ist das Resultat auf jeden Fall authentisch.