Het Domain Name System (DNS) beveiligingsuitbreidingen (DNSSEC) zijn een middel om het internet en zijn gebruikers te beschermen tegen mogelijke aanvallen die de essentiële naamgevingsdiensten op internet kunnen uitschakelen of belemmeren.De beveiligingsuitbreidingen creëren een manier voor de DNS -servers om hun internetprotocol (IP) adresvertaalfuncties te blijven bieden, maar met de extra bepaling die de DNS -servers met elkaar authenticeren door een reeks vertrouwensrelaties te creëren.Door de uitbreidingen bereiken de gegevens die worden gedeeld tussen de DNS -servers ook een integriteitsniveau dat normaal gesproken moeilijk is naar het bestaande protocol waarmee de gegevens worden overgedragen.

Oorspronkelijk werd de DNS gemaakt als een onbeveiligde, openbare verdeling van namen enhun gerelateerde IP -adressen.Naarmate het internet groeide, zijn er echter een aantal ontwikkelde problemen met betrekking tot DNS -beveiliging, privacy en de integriteit van de DNS -gegevens.Met betrekking tot privacyproblemen werd het probleem al vroeg afgehandeld door de juiste configuratie van DNS -servers.Toch is het mogelijk dat een DNS -server wordt onderworpen aan een aantal verschillende soorten aanvallen, zoals gedistribueerde weigering van services (DDO's) en bufferoverloopaanvallen, die elk type server kunnen beïnvloeden.Specifiek voor de DNS is echter de kwestie van sommige externe bronvergiftiging van de gegevens door valse informatie te introduceren.

DNSSEC is ontwikkeld door de Internet Engineering Task Force (IETF) en gedetailleerd in verschillende aanvragen voor commentaar (RFC) documenten, 4033tot en met 4035. Deze documenten beschrijven DNS -beveiliging als haalbaar door het gebruik van openbare sleutelverificatietechnieken.Om de verwerking van de DNS -servers te verlichten, worden alleen de authenticatietechnieken gebruikt en niet codering.

De manier waarop DNSSEC werkt, is door het creëren van vertrouwensrelaties tussen de verschillende lagen van de DNS -hiërarchie.Op het hoogste niveau wordt het worteldomein van de DNS vastgesteld als de primaire tussenpersoon tussen de lagere domeinen, zoals .com, .org, enzovoort.Sub-domeinen kijken dan naar het rootdomein, die handelt als wat een vertrouwde derde partij wordt genoemd, om de geloofwaardigheid van de anderen te valideren, zodat ze nauwkeurige DNS-gegevens met elkaar kunnen delen.

Eén probleem dat opduikt als gevolg van hetMethoden beschreven in de RFC's worden zone -opsomming genoemd.Het wordt mogelijk voor een externe bron om de identiteit van elke benoemde computer op een netwerk te leren.Er is enige controverse ontwikkeld met DNS -beveiliging en het opsommingsprobleem van de zone vanwege het feit dat, hoewel de DNS niet oorspronkelijk was ontworpen voor privacy, verschillende juridische en overheidsverplichtingen vereisen dat de gegevens privé blijven.Een extra protocol, beschreven in RFC 5155, beschrijft een middel om extra resource -records in de DNS te implementeren die het probleem kunnen verlichten, hoewel het het niet volledig kan verwijderen.

Andere problemen met het implementeren van DNS -beveiliging draait om compatibiliteit met oudere systemen.De geïmplementeerde protocollen moeten universeel zijn en daarom worden begrepen door alle computers, servers en klanten die internet gebruiken.Aangezien DNSSEC wordt geïmplementeerd door middel van software -extensies voor de DNS, is er echter een problemen naar voren gekomen om oudere systemen goed bij te werken om de nieuwe methoden te ondersteunen.Toch begon de implementatie van de DNSSEC -methoden eind 2009 en begin 2010 op het rootniveau, en veel moderne computerbesturingssystemen zijn uitgerust met de DNS -beveiligingsuitbreidingen.