Zalecaną praktyką DNSSEC jest, aby każda strefa miała dwa klucze - jeden do podpisywania rekordów (klucz strefy), a drugi do podpisywania tylko klucza strefy. Można jednak użyć tej opcji, aby zmienić domyślną liczbę kluczy dla nowych stref na tylko jedną, jeśli ma to większy sens dla systemu. Pozwala to uniknąć narzutu związanego z okresowym generowaniem i ponownym podpisywaniem klucza strefy.