Dozví se z kořenové zóny. DNSSEC není možné popřít, protože je podepsaná kořenová zóna. O tom rekurzor ví a bude ty podpisy vyžadovat. Jakákoliv další informace už musí být podepsaná, včetně informace o tom, že následující zóna podepsaná není. I to musí přijít důvěryhodnou cestou.
V opačném případě by fungoval downgrade attack a nedávalo by to smysl. V kořeni je napsáno, že o TLD .cz. se starají servery CZ.NIC a jejich klíč je X – tato celá informace je podepsaná. Takto to pokračuje dál až k výsledku nebo k informaci, že dále už se nepodepisuje – ale toto musí být taky zasláno v podepsané zprávě. Tedy není to možné podvrhnout ani zapřít, v obou případech bude výsledek nevalidní a podvržená informace se uživateli nepřeloží.