Truy vấn trong mục B.1 đã trả về một tập bản ghi MX dành cho “x.w.example”. RRSIG tương ứng chỉ ra rằng tập bản ghi MX đã được một DNSKEY “example” ký với thuật toán 5 và thẻ khóa 38519. Resolver cần bản ghi DNSKEY tương ứng để xác thực trả lời này. Nội dung tiếp theo trình bày cách một Resolver có thể có được bản ghi DNSKEY này.
RRSIG chỉ ra TTL ban đầu của tập bản ghi MX là 3600 và vì mục đích xác thực, TTL hiện tại được thay thế bằng 3600. Giá trị trường các nhãn RRSIG là 3 chỉ ra rằng trả lời đã không là kết quả của phần mở rộng ký tự đại diện. Tập bản ghi MX của “x.w.example.com” được đặt trong dạng chính tắc và giả thiết thời gian hiện tại nằm giữa thời điểm hết hạn và bắt đầu của chữ ký, chữ ký được xác thực.
C.1.1 Xác thực bản ghi DNSKEY “example”
Ví dụ này trình bày quá trình xác thực lô gisc bắt đầu từ DNSKEY gốc được cấu hình và di chuyển xuống cây để xác thực bản ghi DNSKEY “example” mong muốn. Thực hiện có thể lựa chọn để xây dựng xác thực khi các tham chiếu được nhận hoặc để xây dựng chuỗi xác thực chỉ sau khi tất cả các tập bản ghi đã thu được hoặc trong bất kỳ một kết hợp nào khác mà nó thấy phù hợp. Ở đây, ví dụ chỉ mô tả quá trình lô gic này và không giải thích bất kỳ các nguyên tắc thực hiện.
Giá thiết là Resolver bắt đầu với một bản ghi DNSKEY được cấu hình dành cho root zone (hoặc một bản ghi DS được cấu hình dành cho root zone). Resolver kiểm tra xem bản ghi DNSKEY được cấu hình có hiện có trong tập bản ghi DNSKEY gốc (hoặc xem bản ghi DS có phù hợp một DNSKEY nào trong tập bản ghi DNSKEY gốc), xem bản ghi DNSKEY này đã ký tập bản ghi DNSKEY gốc và xem thời gian tồn tại chữ ký có hợp lệ. Khi tất cả các điều kiện này được thỏa mãn, tất cả các khá trong tập bản ghi DNSKEY được xem là được xác thực. Tiếp theo Resolver sử dụng một (hoặc nhiều) bản ghi DNSKEY gốc để xác thực tập bản ghi DS “example”. Chú ý rằng Resolver này có thể phải truy vấn root zone để thu được tập bản ghi DNSKEY gốc hoặc tập bản ghi DS “example”.
Khi tập bản ghi DS đã được xác thực bằng cách sử dụng DNSKEY gốc, Resolver kiểm ta tập bản ghi DNSKEY “example” dành cho bản ghi DNSKEY “example” nào đó phù hợp một trong các bản ghi DS “example” được xác thực. Khi môt bản ghi DNSKEY như vậy đã ký tập bản ghi DNSKEY “example” và thời gian tồn tại của chữ ký là hợp lệ. Khi các điều kiện này được thỏa mãn, tất cả các khóa tong tập bản ghi DNSKEY “example” được xem là được xác thực.
Cuối cùng, Resolver kiểm ta xem một bản ghi DNSKEY nào đó trong tập bản ghi DNSKEY “example” sử dụng thuật toán 5 và có thẻ khóa là 38519. DNSKEY này được sử dụng để xác thực RRSIG được chứa trong trả lời. Khi nhiều bản ghi DNSKEY “example” phù hợp thuật toán và thẻ khóa này thì từng bản ghi DNSKEY được thử và trả lời được xác thực khi bất kỳ bản ghi DNSKEY phù hợp xác nhận chữ ký như được trình bày ở trên.