Security-Aware Resolver có thể sử dụng một bản ghi RRSIG để xác thực một tập bản ghi khi tất cả các điều kiện sau được thỏa mãn:
− bản ghi RRSIG và tập bản ghi này phải có tên sở hữu và lớp giống nhau.
− Trường Name của Signer của bản ghi RRSIG phải là tên của zone chứa tập bản ghi này. − Trường Type Covered của bản ghi RRSIG phải giống loại của tập bản ghi này.
− Số các nhãn trong tên sở hữu của tập bản ghi phải lớn hơn hoặc bằng giá trị trong trường Labels của bản ghi RRSIG này.
− Thời gian hiện tại của phần xác nhận phải nhỏ hơn hoặc bằng thời gian được liệt kê trong trường Expiration của bản ghi RRSIG.
− Thời gian hiện tại của phần xác nhận phải lớn hơn hoặc bằng thời gian được liệt kê trong trường Inception của bản ghi RRSIG.
− Các trường Name, Algorithm và Key Tag của Signer của bản ghi RRSIG phải phù hợp tên sở hữu, thuật toán và thẻ khóa dành cho một bản ghi DNSKEY nào đó trong tập bản ghi DNSKEY của zone apex của zone này.
− Bản ghi DNSKEY phù hợp phải hiện có trong tập bản ghi DNSKEY của zone apex của zone này và phải có bit Zone Flag được thiết lập (DNSKEY RDATA Flag bit 7).
Việt phù hợp các điều kiện trên đối với nhiều bản ghi DNSKEY là khả thi. Trong trường hợp này, phần xác nhận có thể không tiên lượng được bản ghi DNSKEY nào được sử dụng để xác thực chữ ký này và nó phải thử từng bản ghi DNSKEY phù hợp cho tới khi chữ ký được xác thực hoặc phần xác nhận không con các khóa công khai phù hợp để thử.
Chú ý rằng quá trình xác thực này chỉ có ý nghĩa khi phần xác nhận xác thực bản ghi DNSKEY này trước khi việc sử dụng nó để xác nhận các chữ ký. Bản ghi DNSKEY phù hợp được xem là xác thực khi:
− Tập bản ghi DNSKEY của zone apex này chứa bản ghi DNSKEY này được xem là xác thực hoặc
− Tập bản ghi được bản ghi RRSIG bao trùm chính là tập bản ghi DNSKEY của zone apex và bản ghi DNSKEY này phù hợp một bản ghi DS được xác thực từ zone cha hoặc phù hợp một Trust Anchor.