DNSSEC (en anglais, DNS Security, sécurité de DNS) est décrite dans le document RFC 2535. Le manuel de BIND décrit les outils disponibles permettant d'utiliser DNSSEC.

Une zone sûre doit posséder une ou plusieurs clés de zones. Utilisez la commande dnssec-keygen pour les générer, à l'instar des clés d'hôte. On utilise actuellement DSA pour générer les clés. Les clés publiques doivent être intégrées dans le fichier de zone correspondant avec une directive $INCLUDE.

Toutes les clés sont regroupées en un ensemble à l'aide de la commande dnssec-makekeyset, lequel doit être acheminé jusqu'à la zone parent (parent zone) par un chemin sûr pour y être signé à l'aide de la commande dnssec-signkey. Les fichiers générés lors de cette signature doivent être utilisés pour signer les zones avec la commande dnssec-signzone et les fichiers en résultant doivent finalement être intégrés au fichier /etc/named.conf pour chaque zone.