La pratica DNSSEC consigliata prevede che ogni zona abbia due chiavi: una per firmare i record (la chiave di zona) e l'altra per firmare solo la chiave di zona. Tuttavia, è possibile utilizzare questa opzione per modificare il numero predefinito di chiavi per le nuove zone in una sola, se ciò ha più senso per il proprio sistema. Questo evita il sovraccarico di dover periodicamente rigenerare e firmare nuovamente la chiave di zona.