Ekstensi Keamanan Sistem Nama Domain (DNS) (DNSSEC) adalah sarana untuk melindungi Internet dan penggunanya dari kemungkinan serangan yang dapat menonaktifkan, atau menghambat akses ke, layanan penamaan penting di Internet.Ekstensi Keamanan menciptakan cara bagi server DNS untuk terus memberikan fungsi terjemahan alamat Internet Protocol (IP) mereka, tetapi dengan ketentuan tambahan bahwa server DNS mengotentikasi satu sama lain dengan menciptakan serangkaian hubungan kepercayaan.Melalui ekstensi, data yang dibagikan di antara server DNS juga mencapai tingkat integritas yang biasanya sulit ke protokol yang ada di mana data ditransfer.

Awalnya, DNS dibuat sebagai distribusi nama publik yang tidak aman dan tidak aman danalamat IP terkait mereka.Namun, ketika Internet tumbuh, sejumlah masalah yang dikembangkan terkait dengan keamanan DNS, privasi, dan integritas data DNS.Sehubungan dengan masalah privasi, masalah ditangani sejak dini dengan konfigurasi yang tepat dari server DNS.Namun, dimungkinkan bagi server DNS untuk dikenakan sejumlah jenis serangan, seperti penolakan layanan (DDOS) yang didistribusikan dan serangan overflow buffer, yang dapat mempengaruhi semua jenis server.Khusus untuk DNS, adalah masalah dari beberapa sumber luar yang meracuni data dengan memperkenalkan informasi palsu.

DNSSEC dikembangkan oleh Internet Engineering Task Force (IETF), dan dirinci dalam beberapa dokumen Permintaan untuk Komentar (RFC), 4033Melalui 4035. Dokumen -dokumen ini menggambarkan keamanan DNS sebagai dapat dicapai melalui penggunaan teknik otentikasi kunci publik.Untuk mengurangi pemrosesan pada server DNS, hanya teknik otentikasi yang digunakan, dan bukan enkripsi.

Cara kerja DNSSEC adalah melalui penciptaan hubungan kepercayaan di antara tingkatan yang berbeda dari hierarki DNS.Di tingkat atas, domain root DNS ditetapkan sebagai perantara utama antara domain yang lebih rendah, seperti .com, .org, dan sebagainya.Sub-domain kemudian melihat ke domain root, bertindak sebagai apa yang disebut pihak ketiga yang tepercaya, untuk memvalidasi kredibilitas yang lain sehingga mereka dapat berbagi data DNS yang akurat satu sama lain.

Satu masalah yang muncul sebagai hasil dari tersebutMetode yang dijelaskan dalam RFCS disebut enumerasi zona.Menjadi mungkin bagi sumber luar untuk mempelajari identitas setiap komputer yang disebutkan di jaringan.Beberapa kontroversi yang dikembangkan dengan keamanan DNS dan masalah enumerasi zona karena fakta bahwa meskipun DNS awalnya tidak dirancang untuk privasi, berbagai kewajiban hukum dan pemerintah mensyaratkan bahwa data tetap pribadi.Protokol tambahan, yang dijelaskan dalam RFC 5155 menjelaskan cara untuk mengimplementasikan catatan sumber daya tambahan ke dalam DNS yang dapat mengurangi masalah, meskipun tidak menghapusnya sepenuhnya.

Masalah lain dengan menerapkan keamanan DNS berputar di sekitar kompatibilitas dengan sistem yang lebih lama.Protokol yang diimplementasikan harus universal dan, oleh karena itu, dipahami oleh semua komputer, server, dan klien, yang menggunakan Internet.Karena DNSSEC diimplementasikan melalui ekstensi perangkat lunak ke DNS, namun, beberapa kesulitan muncul dalam mendapatkan sistem yang lebih lama diperbarui dengan benar untuk mendukung metode baru.Namun, penyebaran metode DNSSEC dimulai pada tingkat root pada akhir 2009 dan awal 2010, dan banyak sistem operasi komputer modern dilengkapi dengan ekstensi keamanan DNS.