Le estensioni di sicurezza (DNSSEC) del sistema di nomi di dominio (DNS) sono un mezzo per proteggere Internet e i suoi utenti da possibili attacchi che possono disabilitare o ostacolare l'accesso ai servizi di denominazione essenziali su Internet.Le estensioni di sicurezza creano un modo per i server DNS di continuare a fornire le funzioni di traduzione dell'indirizzo del protocollo Internet (IP), ma con la disposizione aggiunta che i server DNS si autengono tra loro creando una serie di relazioni di fiducia.Attraverso le estensioni, i dati condivisi tra i server DNS raggiungono anche un livello di integrità che è normalmente difficile per il protocollo esistente con il quale vengono trasferiti i dati.

Inizialmente, il DNS è stato creato come una distribuzione pubblica non garantita e non garantitai loro indirizzi IP correlati.Man mano che Internet cresceva, tuttavia, una serie di problemi sviluppati relativi alla sicurezza DNS, alla privacy e all'integrità dei dati DNS.Per quanto riguarda i problemi di privacy, il problema è stato gestito all'inizio mediante una corretta configurazione dei server DNS.Tuttavia, è possibile che un server DNS sia sottoposto a una serie di diversi tipi di attacchi, come gli attacchi distribuiti di negazione del servizio (DDOS) e overflow del buffer, che possono influire su qualsiasi tipo di server.Specifico per il DNS, tuttavia, è il problema di alcune fonti esterne avvelenando i dati introducendo informazioni false.

DNSSEC è stato sviluppato dalla Task Force Internet Engineering (IETF) e dettagliato in diverse richieste di commenti (RFC), 4033attraverso 4035. Questi documenti descrivono la sicurezza DNS come realizzabile attraverso l'uso di tecniche di autenticazione chiave pubblica.Per alleviare l'elaborazione sui server DNS, vengono utilizzate solo le tecniche di autenticazione e non la crittografia.

Il modo in cui funziona DNSSEC è attraverso la creazione di relazioni di fiducia tra i diversi livelli della gerarchia DNS.Al livello superiore, il dominio principale del DNS è stabilito come intermediario primario tra i domini inferiori, come .com, .org e così via.I sotto-domini guardano quindi al dominio principale, agendo come ciò che si chiama terza parte di fiducia, per convalidare la credibilità degli altri in modo che possano condividere dati DNS accurati tra loro.

Un problema che si presenta a seguito del risultato delI metodi descritti negli RFC sono chiamati enumerazione della zona.Diventa possibile per una fonte esterna apprendere l'identità di ogni computer denominato su una rete.Alcune controversie si sono sviluppate con la sicurezza DNS e il problema di enumerazione della zona a causa del fatto che anche se il DNS non era originariamente progettato per la privacy, vari obblighi legali e governativi richiedono che i dati rimangino privati.Un protocollo aggiuntivo, descritto in RFC 5155, descrive un mezzo per implementare ulteriori record di risorse nei DNS che possono alleviare il problema, sebbene non rimuovilo del tutto.

Altri problemi con l'implementazione della sicurezza DNS ruotano attorno alla compatibilità con i sistemi più vecchi.I protocolli implementati devono essere universali e, quindi, compresi da tutti i computer, server e clienti, che utilizzano Internet.Poiché DNSSEC è implementato mediante estensioni del software al DNS, tuttavia, sono emerse alcune difficoltà nel ottenere sistemi più vecchi adeguatamente aggiornati per supportare i nuovi metodi.Tuttavia, lo spiegamento dei metodi DNSSEC è iniziato a livello di radice alla fine del 2009 e all'inizio del 2010 e molti moderni sistemi operativi per computer sono dotati delle estensioni di sicurezza DNS.