DNSSEC wzmacnia uwierzytelnianie w DNS za pomocą podpisów cyfrowych opartych na kryptografii klucza publicznego. W DNSSEC to nie zapytania i odpowiedzi DNS są podpisywane kryptograficznie, ale raczej same dane DNS są podpisywane przez właściciela tych danych.
Każda strefa DNS posiada parę kluczy publiczny/prywatny. Właściciel strefy używa klucza prywatnego strefy do podpisywania danych DNS w strefie i generowania podpisów cyfrowych na tych danych. Jak sugeruje nazwa “klucz prywatny”, klucz ten jest utrzymywany w tajemnicy przez właściciela strefy. Klucz publiczny strefy jest natomiast publikowany w samej strefie i może być pobierany przez każdego. Każdy resolver rekurencyjny, który szuka danych w strefie, pobiera również klucz publiczny strefy, który wykorzystuje do sprawdzenia autentyczności danych DNS. W ten sposób resolver potwierdza, że podpis cyfrowy pod danymi DNS, które pobrał, jest ważny. Jeśli tak, dane DNS są prawidłowe i zostają zwrócone użytkownikowi. Jeśli podpis nie zostanie potwierdzony, resolver zakłada atak, odrzuca dane i zwraca użytkownikowi błąd.
