DNSSEC 使用公钥加密技术对 DNS 查询进行数字“签名”或身份验证。当在一个区域记录上启用 DNSSEC 时，接收设备可以将收到的信息与权威服务器发送的原始信息进行比较。这是通过数字签名启用的，数字签名使用公钥来验证数据的真实性。

在 DNSSEC 中，身份验证密钥通过加密受到保护，但数据本身不受保护。仍然有可能拦截并读取受 DNSSEC 保护的流量。如果数据在传输路径的某个地方被篡改并发送到目的地，接收服务器将能够察觉到异常，因为公钥将不匹配。

另一方面，加密使用加密技术对数据本身进行编码。加密通过改变攻击者在数据传输路径中拦截查询时所看到的内容，确保了数据的机密性。它使得数据变得无法理解，除非攻击者能够使用加密密钥解密信号。由于该密钥不会公开共享，加密可以保护数据免遭篡改。