Nel corso degli ultimi anni, i server DNS sono stati esposti a tecniche di "cache poisoning" che consentivano agli hacker di "tradurre" arbitrariamente in indirizzi IP a piacimento i domini Internet, con l'obiettivo di reindirizzare il traffico verso altri server (attività di phishing, etc...) manipolando le risposte dei DNS.

Con il DNSSEC si aggiunge finalmente una "firma" alla sorgente (Nameserver) per garantire la veridicità e l'integrità dei dati.

DNSSEC rafforza l'autenticazione DNS utilizzando firme digitali basate sulla crittografia a chiave pubblica e privata.

Il proprietario della zona DNS utilizza la chiave privata della zona per firmare i dati DNS e generare le firme digitali su tali dati.
La chiave privata, in quanto tale, è invece un'informazione riservata.

La chiave pubblica della zona DNS, invece, viene pubblicata nella zona stessa per essere recuperata da chiunque.
Qualsiasi resolver DNS che cerca i dati nella zona recupera anche la chiave pubblica della zona, che utilizza per convalidare l'autenticità dei dati DNS.
Quando resolver conferma che la firma digitale sui dati DNS recuperati è valida, i dati DNS sono legittimi e vengono restituiti all'utente.
Se la firma non viene convalidata, il resolver elimina i dati e restituisce un errore all'utente.