DNSSEC (DNS Security) se describe en RFC 2535 y las herramientas disponibles para utilizar DNSSEC se encuentran recogidas en el manual de BIND.

Una zona segura debe disponer de una o varias claves de zona que, al igual que las claves de ordenador, son creadas con el comando dnssec-keygen. Para la codificación se utiliza actualmente DSA. Las claves públicas (public keys) han de integrarse en los archivos de zonas con $INCLUDE.

Todas las claves se agrupan en un conjunto por medio del comando dnssec-makekeyset. Este conjunto se transmite a continuación de forma segura a la zona superior (parent zone) para ser firmado con dnssec-signkey. Los archivos generados durante la firma deben emplearse para firmar zonas con dnssec-signzone y los nuevos archivos generados deben ser a su vez integrados en /etc/named.conf para cada zona respectiva.