Итак, процесс придания достоверности данным DNS c помощью цифровых подписей может выглядеть приблизительно так. Администратор какой-либо доменной зоны, поддерживающей нужную технологию, с помощью известного ему секретного ключа подписывает адресную информацию цифровой подписью. После этого цифровая подпись передаётся потребителям адресной информации вместе с ответом DNS-сервера. Соответствующий открытый ключ администратор зоны публикует общедоступным образом. Теперь потребитель адресной информации получает возможность проверить достоверность данных, полученных в ответе DNS: с помощью открытого ключа проверяется валидность сопровождающей ответ цифровой подписи. Принимать в качестве руководства к действию будут только корректно подписанные данные.

В новой среде жизнь хакера усложняется. Предположим, что хакер подделывает ответ DNS. Однако теперь подобный подлог вскрывается после проверки, так как хакер не имеет доступа к секретному ключу и не может корректно подписать изменённые данные.

И всё? Проблема решена? К сожалению, если чуть подробнее взглянуть на только что описанный механизм безопасности, то станет понятно: пробелы в безопасности остались ровно те же, что и раньше.