DNSSEC transforme donc le système de noms de domaines en une infrastructure à clés publiques, puisqu'il devient possible de l'utiliser pour diffuser des clés publiques authentifiées ou des certificats. Ces objets sont stockés dans le DNS au moyen de deux enregistrements supplémentaires, le KEY resource record et le CERT resource record. Comme tous les enregistrements, KEY et CERT sont authentifiés par le biais d'un champ SIG, extension DNSSEC permettant d'assurer l'authenticité des données. Leur contenu est consultable au moyen de simples requêtes DNS et il est possible d'associer plusieurs clés à une même entité.