Kui kasutatakse DNSSEC-i, on kõik vastused digitaalselt krüptitud ja sertifitseeritudallkirjastatud. Meetod erineb HTTPS-ist, kus luuakse ühendus üle asümmetrilise krüptimise (nt. [[RSA (algoritm)|RSA]]), vaid selleks, et üle saata allkirjastatud sümmeetrilise krüptimise võti (nt. [[Täiustatud krüpteerimisstandard|AES]]-i võti), kuna RSA-ga krüptiminekrüptida kogu HTTPS ühendus (kõik päringud ja vastused, nt. veebilehed ja andmed) võtab kauem aega ning üleminek sümmeetrilisele võtmele on asümmeetrilise krüptimise matemaatilise keerukuse tõttu märgatavalt efektiivsem ja kiirem. Kuna DNS vastused on lühikesed ja tihti vahemälusse talletatavad mitmel tasandil sh. ühendusepakkuja, on lihtsam vastuseid saata üle allkirjastatud vormil, kus allkiri on krüpteeritud privaatvõtmega ning dekrüpteeritav avaliku võtmega. Siin jäetakse sümmetriline osa, nt. AES, täiesti vahele.
Niimoodi on talletus võimalik, kuna mingi antud DNS-tsooni avalik võti (nt. .org. domeeninimetsooni avalik võti, mida haldab .org nimede haldusorganisatsioon) on avalik teave ning iga talletatud vastuse allkirja on võimalik kinnitada, samas kui on väga keeruline ja ekstreemselt aeganõudev vastuste allkirju võltsida, kuna selle krüptimiseks RSA-algoritmi põhjal on vaja privaatvõtit, mida hoitakse tsoonihalduri poolt saladuses.
