Les extensions de sécurité du système de noms de domaine (DNS) (DNSSEC) sont un moyen de protéger Internet et ses utilisateurs contre les attaques possibles qui peuvent désactiver ou entraver l'accès aux services de dénomination essentiels sur Internet.Les extensions de sécurité créent un moyen pour les serveurs DNS de continuer à fournir leurs fonctions de traduction d'adresses de protocole Internet (IP), mais avec la disposition supplémentaire que les serveurs DNS s'authentifient les uns avec les autres en créant une série de relations de confiance.Grâce aux extensions, les données partagées entre les serveurs DNS atteignent également un niveau d'intégrité qui est normalement difficile au protocole existant par lequel les données sont transférées.

À l'origine, le DNS a été créé en tant que distribution publique non garantie des noms etleurs adresses IP connexes.À mesure que Internet grandissait, cependant, un certain nombre de problèmes développés liés à la sécurité DNS, à la confidentialité et à l'intégrité des données DNS.En ce qui concerne les problèmes de confidentialité, le problème a été traité très tôt par une configuration appropriée des serveurs DNS.Pourtant, il est possible qu'un serveur DNS soit soumis à un certain nombre de types d'attaques différents, tels que le déni de service distribué (DDOS) et les attaques de débordement de tampon, qui peuvent affecter tout type de serveur.Spécifique au DNS, cependant, est la question de certaines sources extérieures d'empoisonnement des données en introduisant de fausses informations.

DNSSEC a été développée par l'Internet Engineering Task Force (IETF), et détaillée dans plusieurs documents de demande de commentaire (RFC), 4033, 4033jusqu'à 4035. Ces documents décrivent la sécurité DNS comme réalisable grâce à l'utilisation de techniques d'authentification des clés publiques.Pour atténuer le traitement sur les serveurs DNS, seules les techniques d'authentification sont utilisées et non le cryptage.

Le fonctionnement du DNSSEC est par la création de relations de confiance entre les différents niveaux de la hiérarchie DNS.Au niveau supérieur, le domaine racine du DNS est établi comme l'intermédiaire principal entre les domaines inférieurs, tels que .com, .org, etc.Les sous-domaines se tournent ensuite vers le domaine racine, agissant comme ce que l'on appelle un tiers de confiance, pour valider la crédibilité des autres afin qu'ils puissent partager des données DNS précises. Un problème qui apparaît à la suite duLes méthodes décrites dans les RFC sont appelées énumération de zone.Il devient possible pour une source extérieure d'apprendre l'identité de chaque ordinateur nommé sur un réseau.Une certaine controverse s'est développée avec la sécurité DNS et le problème d'énumération de la zone en raison du fait que même si le DNS n'a pas été conçu à l'origine pour la vie privée, diverses obligations légales et gouvernementales exigent que les données restent privées.Un protocole supplémentaire, décrit dans RFC 5155, décrit un moyen de mettre en œuvre des enregistrements de ressources supplémentaires dans le DNS qui peuvent atténuer le problème, mais ne le supprime pas entièrement. Les autres problèmes de mise en œuvre de la sécurité DNS tournent autour de la compatibilité avec les systèmes plus anciens.Les protocoles implémentés doivent être universels et, par conséquent, compris par tous les ordinateurs, les serveurs et les clients, qui utilisent Internet.Étant donné que le DNSSEC est mis en œuvre par le biais d'extensions de logiciel vers le DNS, cependant, certaines difficultés ont émergé pour obtenir des systèmes plus anciens correctement mis à jour afin de prendre en charge les nouvelles méthodes.Pourtant, le déploiement des méthodes DNSSEC a commencé au niveau racine fin 2009 et début 2010, et de nombreux systèmes d'exploitation informatiques modernes sont équipés des extensions de sécurité DNS.