Cum funcționează DNSSEC?

DNSSEC folosește algoritmii de criptare asimetrici. Prin folosirea DNSSEC, toate înregistrările din zona DNS a unui domeniu sunt semnate digital și publicate alături de aceste semnături. Cheile de criptare publice sunt distribuite tot folosind sistemul DNS. Clientul (resolver) care face validarea datelor DNSSEC, folosește cheia publică a serverului ”root” care este considerată sigură și parcurge fiecare nivel DNS pentru autentificarea tot lanțului de nume. Fiecare domeniu semnat DNSSEC trebuie să aibă la părinte o înregistrare de tip DS (Delegation Signer) pentru ca un client ce rezolva numele să poată verifica lanțul de încredere.