Die Sicherheitsweiterungen (Domain Name System) (DNS) sind ein Mittel, um das Internet und seine Benutzer vor möglichen Angriffen zu schützen, die den Zugang zu den wesentlichen Namensdiensten im Internet deaktivieren oder behindern können.Die Sicherheitsverlängerungen erstellen eine Möglichkeit für die DNS -Server, ihre IP -Adressübersetzungsfunktionen (Internet Protocol) weiterhin bereitzustellen, aber mit der zusätzlichen Bestimmung, dass die DNS -Server miteinander authentifizieren, indem sie eine Reihe von Vertrauensbeziehungen erstellen.Durch die Erweiterungen erreicht die Daten, die unter den DNS -Servern geteilt werden, auch ein Maß an Integrität, das normalerweise für das vorhandene Protokoll, durch das die Daten übertragen werden, schwierig ist.ihre verwandten IP -Adressen.Mit zunehmendem Internet wuchs jedoch eine Reihe von Problemen im Zusammenhang mit der DNS -Sicherheit, der Privatsphäre und der Integrität der DNS -Daten.In Bezug auf Datenschutzfragen wurde das Problem frühzeitig durch die richtige Konfiguration von DNS -Servern behandelt.Es ist jedoch möglich, dass ein DNS -Server einer Reihe verschiedener Arten von Angriffen unterzogen wird, wie z.Spezifisch für den DNS ist jedoch die Frage einiger externer Quellenvergiftung der Daten, indem falsche Informationen eingeführt werden.bis 4035. Diese Dokumente beschreiben die DNS -Sicherheit als erreichbar durch die Verwendung von Authentifizierungstechniken der öffentlichen Schlüssel.Um die Verarbeitung auf den DNS -Servern zu lindern, werden nur die Authentifizierungstechniken verwendet und nicht die Verschlüsselung.

Die Art und Weise, wie DNSSEC funktioniert, wird durch die Schaffung von Vertrauensbeziehungen zwischen den verschiedenen Ebenen der DNS -Hierarchie erstellt.Auf der oberen Ebene wird die Wurzeldomäne des DNS als primärer Vermittler zwischen den unteren Domänen wie .com, .org usw. festgelegt.Subdomänen schauen dann in die Wurzeldomäne und wirken als wie ein vertrauenswürdiger Dritter bezeichnet, um die Glaubwürdigkeit der anderen zu validieren, damit sie genaue DNS-Daten miteinander teilen können.

Ein Problem, das aufgrund der auftauchtIn den RFCs beschriebene Methoden werden als Zonenaufzählung bezeichnet.Es wird für eine externe Quelle möglich, die Identität jedes benannten Computers in einem Netzwerk zu lernen.Einige Kontroversen entwickelten sich mit DNS -Sicherheit und dem Problem der Zone Aufzählung, da die DNS ursprünglich nicht für die Privatsphäre konzipiert war, verschiedene rechtliche und staatliche Verpflichtungen erfordern, dass die Daten privat bleiben.Ein zusätzliches Protokoll, das in RFC 5155 beschrieben wird, beschreibt ein Mittel zur Implementierung zusätzlicher Ressourcenaufzeichnungen in das DNS, das das Problem lindern kann, es jedoch nicht vollständig entfernen.

Andere Probleme bei der Implementierung der DNS -Sicherheit drehen sich um Kompatibilität mit älteren Systemen.Die implementierten Protokolle müssen universell sein und daher von allen Computern, Servern und Clients gleichermaßen verstanden werden, die das Internet verwenden.Da DNSSEC durch Software -Erweiterungen des DNS implementiert wird, entstand jedoch einige Schwierigkeiten, ältere Systeme ordnungsgemäß zu aktualisieren, um die neuen Methoden zu unterstützen.Die Bereitstellung der DNSSEC -Methoden begann jedoch Ende 2009 und Anfang 2010 auf der Stammebene, und viele moderne Computerbetriebssysteme sind mit den DNS -Sicherheitsweiterungen ausgestattet.