DNSSEC (engl. DNS Security) ist im RFC 2535 beschrieben; welche Tools für den Einsatz von DNSSEC zur Verfügung stehen, ist im BIND-Manual beschrieben.

Eine sichere Zone muss einen oder mehrere Zonen-Schlüssel haben; diese werden, wie die Host-Schlüssel, auch mit dnssec-keygen erzeugt. Zur Verschlüsselung wählt man momentan DSA. Die öffentlichen Schlüssel (engl. public keys) sollten in die Zonen-Dateien mit $INCLUDE eingebunden werden.

Alle Schlüssel werden mit dnssec-makekeyset zu einem Set zusammengefasst, das auf sicherem Wege an die übergeordnete Zone (engl. Parent Zone) zu übertragen ist, um dort mit dnssec-signkey signiert zu werden. Die bei der Signierung erzeugten Dateien müssen zum Signieren von Zonen mit dnssec-signzone verwendet werden und die dabei entstandenen Dateien sind schließlich in /etc/named.conf für die jeweilige Zone einzubinden.