Khi bản ghi RRSIG đã đáp ứng các yêu cầu xác nhận được trình bày trong mục 7.3.1, phần xác nhận phải xây dựng lại dữ liệu được ký ban đầu. Dữ liệu được ký ban đầu bao gồm RRSIG RDATA (trừ trường Signature) và dạng chính tắc của tập bản ghi. Ngoài cấu trúc lệnh, dạng chính tắc của tập bản ghi này cũng có thể khác tập bản ghi nhận được vì nén tên DNS, các TTL giảm hoặc mở rộng ký tự đại diện. Phần xác nhận này nên sử dụng các lệnh sau để xây dựng lại dữ liệu được ký ban đầu:
signed_data = RRSIG_RDATA | RR(1) | RR(2)... trong đó
"|" là toán tử ghép
RRSIG_RDATA là dạng chuỗi của các trường RRSIG RDATA với trường Signature bị loại bỏ và Signer's Name có dạng chính tắc.
RR(i) = name | type | class | OrigTTL | RDATA length | RDATA trong đó
name được tính theo hàm dưới đây class là lớp của tập bản ghi.
type là loại của tập bản ghi và tất cả các bản ghi trong lớp này OrigTTL là giá trị từ trường RRSIG Original TTL
Tất cả các tên trong RDATA có dạng chính tắc. Tất cả các RR (i) được sắp xếp theo thứ tự chính tắc. Để tính tên:
Đặt rrsig_labels = giá trị của trường RRSIG Labels
Đặt fqdn = tên miền đủ điều kiện hoàn toàn của tập bản ghi dưới dạng chính tắc. Đặt fqdn_labels = số nhãn của fqdn bên trên.
Khi rrsig_labels = fqdn_labels thì name = fqdn
Khi rrsig_labels < fqdn_labels thì name = "*." | các nhãn rrsig_label bên phải ngoài cùng của fqdn Khi rrsig_labels > fqdn_labels thì bản ghi RRSIG đã không vượt qua các kiểm tra xác nhận cần thiết và không được sử dụng để xác thực tập bản ghi này.
Các dạng chính tắc đối với các tên và tập bản ghi được trình bày trong RFC 4034.
Các tập bản ghi NSEC ở ranh giới ủy quyền yêu cầu xử lý đặc biệt. có hai tập bản ghi NSEC khác nhau liên kết với một tên được ủy quyền được ký. Tập bản ghi NSEC thứ nhất trong zone cha và xác định các tập bản ghi nào hiện có ở zone cha. Tập bản ghi NSEC thứ hai ở zone con và xác định các tập bản ghi nào hiện có ở của zone apex trong zone con. Tập bản ghi NSEC cha và tập bản ghi NSEC con luôn luôn có thể được phân biệt vì chỉ một bản ghi NSEC con sẽ chỉ ra rằng một tập bản ghi SOA tồn tại ở tên. Khi xây dựng lại tập bản ghi NSEC ban đầu dành cho ủy quyền từ zone cha, các bản ghi NSEC này không được kết hợp với các bản ghi NSEC từ zone con. Khi xây dựng lại tập bản ghi NSEC ban đầu dành cho của zone apex của zone con, các bản ghi NSEC không được kết hợp với các bản ghi NSEC từ zone cha.
Chú ý rằng từng tập bản ghi của hai tập bản ghi NSEC này ở điểm chuyển giao có một bản ghi RRSIG tương ứng với một tên sở hữu phù hợp tên được ủy quyền và từng bản ghi của các bản ghi RRSIG
này được liên kết dữ liệu xác thực với zone chứa tập bản ghi NSEC tương ứng. Khi cần, Resolver có thể phân biệt các bản ghi RRSIG này bằng cách kiểm tra trường tên của Signer.