A DNSSEC-nek két oldala van: az aláíró és a hitelesítő. Ezek együtt biztosítják a DNSSEC magas szintű biztonságát. Mindkettő elengedhetetlen a működéséhez, de mindkettő elválasztva külön folyamatként zajlik.

Aláírás

A domain, a névszerverek operátorai által kerül aláírásra, ami így az adott domainhez lesz hitelesítve . Ezeket a névszervereket az a DNS szolgáltató tartja fenn, akinél a domain regisztrálva van, (ami az alapértelmezett DNS szolgáltatást is nyújtja) vagy a webhosting szolgáltató, aki a DNS szolgáltatást vagy a saját hiteles DNS szervert biztosítja.

Lényegét tekintve DNSSEC aláírási folyamata a következőképp néz ki:

  1. A domain név tulajdonosa engedélyezi DNSSEC-et a domain azon oldalán, amit a DNS használ.
  2. Egy DNS kiszolgálója, aki a DNS rekordot biztosítja, aláírja ezt a DNSSEC kulcsokkal.

A folyamat részeként, egy úgynevezett „Delegation Signer”(DS) rekordot hoznak létre a TLD számára, ezzel biztosítva a „teljes körű bizalom kialakulását” (ez egy a domain név digitális aláírásával hitelesített lekérdezések sora, ami a kéréseket felügyeli az összes lekérdezési csomóponton). Ez biztosítja, hogy harmadik fél ne jusson be a kommunikációba és ne terelje a kérést egy másik, káros weboldalra.

  1. A domain regisztrátornak ezt a DS tartományt biztosítania kell a domain létrehozásához.
  2. Majd a regisztrátor biztosítja ezt a DS tartományt a TLD-t kezelőknek. (a TLD-nek ez esetben DNSSEC kompatibilisnek kell lenni)

Hitelesítés

Az érvényesítés „a DNSSEC-et hitelesítő úgynevezett DNS feloldókon keresztül zajlik. A hitelesítés elvégezhető egy DNS felodóval, ami a hálózat bármely pontján futtatható. Beleértve ebbe a böngészőket, az üzenetküldő szolgáltatásokat, vagy pedig a levelező szervereket. DNS feloldó lehet az otthoni gépen is az operációs rendszerbe építve, vagy Internetszolgáltató, illetve egyéb publikus DNS szolgáltató által biztosítva, mint például a Google publikus DNS-e.

A hitelesítés során a domain DNSSEC aláírása kriptografikusan kerül ellenőrzésre.

A hitelesítés részeként a DNS-feloldó ellenőrzi a „teljes körű bizalom” létrejöttét is, a DNS szerver gyökerétől a domainig, hogy megbizonyosodjon arról, az általa használt információk nem lettek-e módosítva. Ideális esetben, ez a végfelhasználóhoz a lehető legközelebb történik meg.