DNSSEC (DNS Security) viene illustrato nell'RFC 2535; gli strumenti disponibili per l'utilizzo di DNSSEC sono descritti nella manuale di BIND.

Una zona per dirsi sicura deve avere una o più chiavi zona; questo tipo di chiave viene generato - come nel caso di chiavi per host - con dnssec-keygen. Ai fini della cifratura al momento si usa DSA. Le chiavi pubbliche (public keys) dovrebbero essere integrate nei file zona con $INCLUDE.

Tutte le chiavi possono essere riunite in un set di chiavi tramite dnssec-makekeyset da trasmettere in modo sicuro alla zona superiore (parent zone), per essere firmati con dnssec-signkey. I file creati durante questo processo, vanno utilizzati ai fini della firma delle zone assieme a dnssec-signzone e i file generati da questo processo vanno quindi integrati in /etc/named.conf nella zona corrispondente.