DNSSEC, bezpečné DNS, je popsáno v RFC 2535. Nástroje pro práci s DNSSEC jsou probírány v BIND manuálu.

Bezpečná zóna musí mít přiřazen jeden nebo více zónových klíčů, generovaných pomocí dnssec-keygen, stejně jako klíče počítačů. V současnosti se pro tvorbu klíčů používá algoritmus DES. Veřejné klíče by měly být vloženy do příslušného zónového souboru pomocí pravidla $INCLUDE.

Příkazem dnssec-makekeyset jsou všechny klíče spojeny do jedné sady, která pak musí být bezpečným způsobem přenesena do rodičovské (nadřazené) zóny. Tam je sada podepsána pomocí dnssec-signkey. Soubory generované tímto příkazem jsou použity k podepsání zón pomocí dnssec-signzone, čímž jsou vytvořeny soubory, které se vloží do /etc/named.conf každé zóny.