Anbefalt DNSSEC-praksis er at hver sone skal ha to nøkler - en for signering av postene (sonetasten), og den andre for å signere bare sonetasten. Du kan imidlertid bruke dette alternativet til å endre standard antall nøkler for nye soner til bare en, hvis det er mer fornuftig for systemet ditt. Dette unngår overhead av å måtte generere og signere sone-nøkkelen med jevne mellomrom.