Domænenavn System (DNS) Security Extensions (DNSSEC) er et middel til at beskytte internettet og dets brugere mod mulige angreb, der kan deaktivere eller hindre adgangen til de vigtigste navngivningstjenester på Internettet.Sikkerhedsudvidelserne skaber en måde for DNS -serverne at fortsætte med at levere deres IP -adressefunktioner (Internet Protocol (IP), men med den tilføjede bestemmelse om, at DNS -serverne autentificerer hinanden ved at oprette en række tillidsforhold.Gennem udvidelserne opnår de data, der deles mellem DNS -serverne, også et integritetsniveau, der normalt er vanskeligt over til den eksisterende protokol, hvormed dataene overføres.

Oprindeligt blev DNS oprettet som en usikret, offentlig fordeling af navne ogderes relaterede IP -adresser.Efterhånden som internettet voksede, udviklede en række problemer imidlertid en række problemer relateret til DNS -sikkerhed, privatliv og integriteten af DNS -dataene.Med hensyn til privatlivets fred blev problemet tidligt håndteret af korrekt konfiguration af DNS -servere.Det er stadig muligt for en DNS -server at blive udsat for en række forskellige typer angreb, såsom distribueret benægtelse af service (DDoS) og bufferoverløb, som kan påvirke enhver type server.Specifikt for DNS er dog spørgsmålet om en eller anden ekstern kildeforgiftning af dataene ved at introducere falske oplysninger.

DNSSEC blev udviklet af Internet Engineering Task Force (IETF) og beskrevet i flere anmodninger om kommentar (RFC), 4033Gennem 4035. Disse dokumenter beskriver DNS -sikkerhed som opnåelige ved hjælp af offentlige nøglegodkendelsesteknikker.For at lindre behandlingen på DNS -serverne bruges kun godkendelsesteknikkerne og ikke kryptering.

Den måde, DNSSEC fungerer på, er gennem oprettelse af tillidsforhold mellem de forskellige niveauer af DNS -hierarkiet.På øverste niveau etableres roddomænet for DNS som den primære formidler mellem de nedre domæner, såsom .com, .org, og så videre.Underdomæner ser derefter til roddomænet, der fungerer som hvad der kaldes en betroet tredjepart, for at validere de andre troværdighed, så de kan dele nøjagtige DNS-data med hinanden.

Et spørgsmål, der dukker op som et resultat af denMetoder beskrevet i RFC'erne kaldes zoneoptælling.Det bliver muligt for en ekstern kilde at lære identiteten af enhver navngivet computer på et netværk.Nogle kontroverser udviklet med DNS -sikkerhed og zoneoptællingsproblemet på grund af det faktum, at selvom DNS ikke oprindeligt var designet til privatlivets fred, kræver forskellige juridiske og statslige forpligtelser, at dataene forbliver private.En yderligere protokol, der er beskrevet i RFC 5155, beskriver et middel til at implementere yderligere ressourceposter i DNS, der kan lindre problemet, dog ikke fjerne det helt.

Andre problemer med implementering af DNS -sikkerhed drejer sig om kompatibilitet med ældre systemer.De implementerede protokoller skal være universelle og derfor forstås af alle computere, servere og klienter, der bruger internettet.Da DNSSEC implementeres ved hjælp af softwareudvidelser til DNS, opstod der imidlertid nogle vanskeligheder med at blive ældre systemer korrekt opdateret for at understøtte de nye metoder.Stadig begyndte implementeringen af DNSSEC -metoderne på rodniveauet i slutningen af 2009 og begyndelsen af 2010, og mange moderne computeroperativsystemer er udstyret med DNS -sikkerhedsudvidelser.