CZ.NIC implementuje automatizovanou správu DNSSEC podle RFC 7344 a RFC 8078

Jednou denně automat projde všechny domény v zóně CZ a pokusí se najít CDNSKEY záznam. Proces zpracování záznamu se liší podle toho zda-li je doména již zabezpečena DNSSEC či nikoliv. Následně se tento test opakuje po dobu osmi až deseti dní. Pokud je výsledek nějakého testu jiný než doposud, proces se zastaví a technický kontakt je o tom informován. Pokud se stav nezmění po dobu alespoň osmi dní, vytvoří se z obsahu CDNSKEY nový KeySet s prefixem "AUTO-" který se přiřadí dané doméně. Stav blokujici změny u domény (serverUpdateProhibited) nebrání systému AKM, aby aplikoval CDNSKEY záznamy na doménu.

Pokud je nalezen CDNSKEY záznam u již zabezpečené domény, je autenticita toho záznamu ověřena pomocí DNSSEC validace odpovědi. Pokud už tato doména má automatizovaný KeySet z dřívějšího běhu, provede se pouze výměna obsahu KeySetu za obsah CDNSKEY. V případě že doména má jiný KeySet, vytvoří se KeySet nový s prefixem "AUTO-" a tento nový KeySet se vloží k doméně místo existujícího. Pokud je nicméně obsahem CDNSKEY záznamu "0 3 0 0", odstraní se KeySet od domény.

Více informací je možné nalézt v dokumentaci registračního systému FRED