Estas extensiones de seguridad consisten en un nuevo conjunto de registros y modificaciones del protocolo DNS.
Los registros son:
- DNSKEY (DNS Public Key): Clave pública del DNS.
- RRSIG (Resource Record Signature): Firma digital de un registro.
- DS (Delegation Signer): Hash de una DNSKEY.
- NSEC/NSEC3 (Next Secure): Se utiliza para la denegación de existencia.
- NSEC3PARAM: Parametros de configuración de NSEC3.
En cuanto a las modificaciones del protocolo, se incluyen nuevas llamadas y peticiones de registros por cada consulta DNS que se realiza, para posibilitar la autenticación de los dominios.