Chaque système de nom de domaine est responsable d’une zone précise. Vous trouverez une liste complète des enregistrements DNS dans le fichier des zones, où ces dernières sont décrites. Pour cette raison, tout système de nom de domaine possède sa propre clé de zone, avec laquelle il devient capable de protéger la liste d’enregistrements DNS. La clé publique de la clé de zone est intégrée au fichier de zones en tant que DNSKEY Resource Record (pour liste d’enregistrement DNS) et chaque unité d’information est signée. Les listes d’enregistrement RRSIG servent de complément à cet égard. Cette combinaison subsiste, peu importe si elle est stockée dans le cache ou transmise à un autre système de nom de domaine. Enfin elle atterrit sur le Client qui a effectué la demande, et qui peut effectuer une signature à l’aide d’un DNS resolver et valider une clé publique.
Pour faciliter la gestion des clés et créer une chaîne de confiance, il existe, en dehors des clés de zone, des clés de signature de clé à la syntaxe identique qui confirment l’authenticité de la clé de zone respective.