DNSSEC (en anglais, DNS Security, sécurité de DNS) est décrite dans le document RFC 2535 . Le manuel de BIND décrit les outils disponibles permettant d'utiliser DNSSEC.

Une zone sûre doit posséder une ou plusieurs clés de zones. Utilisez la commande dnssec-keygen pour les générer, à l'instar des clés d'hôte. On utilise actuellement DSA pour générer les clés. Les clés publiques doivent être intégrées dans le fichier de zone correspondant avec une directive $INCLUDE.

Toutes les clés sont regroupées en un ensemble à l'aide de la commande dnssec-makekeyset, lequel doit être acheminé jusqu'à la zone parent (parent zone) par un chemin sûr pour y être signé à l'aide de la commande dnssec-signkey. Les fichiers générés lors de cette signature doivent être utilisés pour signer les zones avec la commande dnssec-signzone et les fichiers en résultant doivent finalement être intégrés au fichier /etc/named.conf pour chaque zone.