Ogni tre mesi, 7 persone volano su un server ICANN sicuro e passano attraverso una cerimonia elaborata per generare una nuova chiave di firma per DNSSEC. L'intera faccenda sembra essere basata sulla politica e non su alcun modello di sicurezza reale. Se le chiavi private non sono state compromesse, nessun altro può firmare alcun record, indipendentemente dal controllo delle apparecchiature esterne al server di firma.
Se stai caricando in prima istanza tutta la tua fiducia nell'avere le chiavi private protette, perché non dovrebbero semplicemente assicurarsi che il server di firma stesso si autodistruggerebbe se fosse manomesso? È possibile proteggersi da chiunque manipoli gli ingressi / uscite posizionando 3 di questi box a prova di manomissione in diverse località mondo e sincronizzando i loro output. Potrebbero essere ospitati in una base delle Nazioni Unite o in un luogo in cui la sicurezza è gestita congiuntamente da paesi con relazioni semi-contraddittorie (come la Cina e gli Stati Uniti) e monitorati tramite una webcam.
Le chiavi dovrebbero essere aggiornate solo se uno dei server viene disconnesso per qualsiasi motivo o se sono necessari aggiornamenti hardware.