I risolutori DNS scelgono il server dei nomi per ottenere la risposta in modo casuale. Da questo punto di vista non c'è differenza tra i server NS primari e secondari.
Se hai 2 server NS e uno è compromesso in alcun modo, c'è una probabilità del 50% circa che il server DNS di caching richieda un server NS compromesso. Quando lo fa e ottiene una risposta falsificata (probabilmente indicando una destinazione malevola), ricorderà tale risposta e la restituirà a tutte le query successive per lo stesso nome DNS fino alla scadenza del TTL della risposta (che può essere davvero lunga, come diversi giorni , se l'attaccante è abbastanza intelligente).
Se il visitatore di tale sito utilizza un resolver ricorsivo (cache server DNS) correttamente configurato, DNSSEC e il dominio example.com è firmato con DNSSEC, è abbastanza sicuro.
Il resolver DNS verifica la risposta dal server dei nomi autorevole rispetto ai record DS dalla zona padre (in questo caso la zona .com). Se la risposta è falsificata, il resolver restituisce ed errore (e non memorizza nella cache la risposta sbagliata). Solo se la crittografia utilizzata per firmare la zona DNS in questione (o una qualsiasi delle zone parent) è interrotta o se le chiavi segrete sono note all'attaccante, solo allora potrebbe falsificare tale risposta DNS.