Khi tập bản ghi DNSKEY của zone apex dành cho một zone cha được ký đã được xác thực, các tập bản ghi DS có thể được sử dụng để xác thực ủy quyền đến một zone con được ký. Một bản ghi DS xác định một bản ghi DNSKEY trong tập bản ghi DNSKEY của zone apex của zone con này và chứa một tóm tắt mật mã của bản ghi DNSKEY của zone con. Việc sử dụng thuật toán tóm tắt mật mã mạnh đảm bảo rằng việc tạo một bản ghi DNSKEY phù hợp với phần tóm tắt đối với một đối thủ là không khả thi về mặt tính toán. Do đó, việc xác thực phần tóm tắt cho phép Resolver xác thực bản ghi DNSKEY phù hợp. Tiếp theo, Resolver này có thể sử dụng bản ghi DNSKEY con này để xác thực toàn bộ tập bản ghi DNSKEY của zone apex phía zone con.
Cho trước một bản ghi DS dành cho ủy quyền, tập bản ghi DNSKEY của zone apex của zone con có thể được xác thực khi tất cả các nội dung sau được đáp ứng:
− Bản ghi DS này đã được xác thực bằng cách sử dụng một bản ghi DNSKEY nào đó trong tập bản ghi DNSKEY của zone apex của zone cha (xem mục 7.3).
− Thuật toán và thẻ khóa trong bản ghi DS này phù hợp trường thuật toán và thẻ khóa của một bản ghi DNSKEY trong tập bản ghi DNSKEY của zone apex của zone con và khi RDATA và tên sở hữu của bản ghi DNSKEY này được trộn bằng cách sử dụng thuật toán tóm tắt được quy định trong trường loại tóm tắt của bản ghi DS này, giá trị tóm tắt thu được phù hợp trường tóm tắt của bản ghi DS này.
− Bản ghi DNSKEY phù hợp trong zone con có bit Zone Flag được thiết lập, khóa mật tương ứng đã ký tập bản ghi DNSKEY của zone apex của zone con và bản ghi RRSIG thu được xác thực tập bản ghi DNSKEY của zone apex của zone con.
Khi tham chiếu này từ zone cha đã không chứa một tập bản ghi DS, trả lời này đã chứa một tập bản ghi NSEC được ký chỉ ra rằng không có tập bản ghi DS nào tồng tại dành cho tên được ủy quyền này (xem mục 5.1.4) Security-Aware Resolver phải truy vấn các máy chủ tên miền dành cho zone cha đối với tập bản ghi DS này khi tham chiếu này không chứa tập bản ghi DS hoặc tập bản ghi NSEC chỉ ra rằng tập bản ghi DS không tồn tại (xem mục 6)
Khi phần xác nhận xác thực một tập bản ghi NSEC để chỉ ra rằng không có tập bản ghi DS nào hiện có dành cho zone này thì không có liên kết xác thực nào dẫn từ cha đến con. Khi Resolver này có bản ghi DNSKEY hoặc DS khởi tạo thuộc zone con hoặc thuộc bất kỳ ủy quyền nào dưới zone con, bản ghi DNSKEY hoặc DS khởi tạo này có thể được sử dụng để thiết lập lại liên kết xác thực. Khi không có bản ghi DNSKEY hoặc DS như vậy tồn tại, phần xác nhận không thể xác thực các tập bản ghi trong hoặc dưới zone con.
Khi phần xác nhận không hỗ trợ bất kỳ thuật toán được liệt kê trong một tập bản ghi DS được xác thực thì Resolver này không hỗ trợ liên kết xác thực dẫn từ cha đến con. Resolver nên xử lỷ trường hợp này khi nó là trường hợp của một tập bản ghi NSEC được xác thực chỉ ra rằng không có tập bản ghi DS nào tồn tại như đã được trình bày ở trên.
Chú ý rằng, đối với một ủy quyền được ký, có hai bản ghi NSEC liên kết với tên được ủy quyền. Một bản ghi NSEC thứ nhất tại zone cha và có thể được sử dụng để chỉ ra liệu một tập bản ghi DS có tồn tại dành cho tên được ủy quyền. Một bản ghi NSEC thứ hai tại zone con và xác định các tập bản ghi nào hiện có ở của zone apex của zone con. Bản ghi NSEC cha và bản ghi NSEC con luôn luôn có thể được phân biệt vì bit SOA sẽ được thiết lập trong bản ghi NSEC con và bị xóa trong bản ghi NSEC cha. Security-Aware Resolver phải sử dụng bản ghi NSEC cha khi cố gắng chỉ ra rằng một tập bản ghi DS không tồn tại.
Khi Resolver này không hỗ trợ bất kỳ thuật toán được liệt kê trong một tập bản ghi DS được xác thực thì Resolver này sẽ không thể kiểm tra liên kết xác thực đến zone con. Trong trường hợp này, Resolver này nên xử lý zone con như thể nó chưa được ký.