Rozszerzenia bezpieczeństwa systemu nazwy domeny (DNS) (DNSSEC) są sposobem ochrony Internetu i jego użytkowników przed możliwymi atakami, które mogą wyłączyć lub utrudniać dostęp do niezbędnych usług nazewnictwa w Internecie.Rozszerzenia bezpieczeństwa tworzą sposób, w jaki serwery DNS będą nadal dostarczać funkcje tłumaczenia protokołu internetowego (IP), ale z dodatkowym przepisem, które serwery DNS uwierzytelniają ze sobą poprzez tworzenie serii relacji zaufania.Poprzez rozszerzenia dane udostępnione między serwerami DNS osiągają również poziom integralności, który zwykle jest trudny do istniejącego protokołu, według którego dane są przesyłane.

Pierwotnie DNS został utworzony jako niezabezpieczony, publiczny rozkład nazw i nazwisk iich powiązane adresy IP.Jednak w miarę wzrostu Internetu opracowane szereg problemów związanych z bezpieczeństwem DNS, prywatnością i integralnością danych DNS.W odniesieniu do problemów związanych z prywatnością problem został wcześnie rozwiązywany przez odpowiednią konfigurację serwerów DNS.Mimo to możliwe jest poddanie się szeregu różnych rodzajów ataków, takich jak rozproszone zaprzeczenie usługi (DDOS) i ataków przepełnienia bufora, które mogą wpływać na każdy rodzaj serwera.Specyficzna dla DNS jest jednak kwestią niektórych zewnętrznych zatruć źródło danych poprzez wprowadzenie fałszywych informacji.

DNSSEC został opracowany przez Internet Engineering Task Force (IETF) i szczegółowo opisany w kilku dokumentach dotyczących komentarza (RFC), 4033do 4035. Dokumenty te opisują bezpieczeństwo DNS jako osiągalne dzięki zastosowaniu technik uwierzytelniania klucza publicznego.Aby złagodzić przetwarzanie na serwerach DNS, stosowane są tylko techniki uwierzytelniania, a nie szyfrowanie.

Sposób, w jaki działa DNSSEC, polega na tworzeniu relacji zaufania między różnymi poziomami hierarchii DNS.Na najwyższym poziomie domena główna DNS jest ustalana jako główny pośrednik między niższymi domenami, takimi jak .com, .org i tak dalej.Następnie podwodne patrzą na domenę główną, działając jako to, co nazywa się zaufaną stroną trzecią, aby potwierdzić wiarygodność innych, aby mogły oni dzielić się ze sobą dokładne dane DNS.

Jedna kwestia, która pojawia się w wynikuMetody opisane w RFC nazywa się wyliczeniem stref.Zewnętrzne źródło staje się możliwe, aby poznać tożsamość każdego nazwanego komputera w sieci.Pewne kontrowersje rozwinęły się z problemem bezpieczeństwa DNS i problemem wyliczenia stref ze względu na fakt, że chociaż DNS nie został pierwotnie zaprojektowany pod kątem prywatności, różne obowiązki prawne i rządowe wymagają, aby dane pozostały prywatne.Dodatkowy protokół, opisany w RFC 5155, opisuje środki do wdrożenia dodatkowych rekordów zasobów do DNS, które mogą złagodzić problem, choć nie całkowicie go usuwaj.

Inne problemy z wdrażaniem obrotu bezpieczeństwa DNS wokół kompatybilności ze starszymi systemami.Zaimplementowane protokoły muszą być uniwersalne, a zatem rozumiane przez wszystkie komputery, serwery i klientów, które korzystają z Internetu.Ponieważ DNSSEC jest zaimplementowany przez rozszerzenia oprogramowania do DNS, pojawiły się pewne trudności w poprawnej aktualizacji starszych systemów w celu obsługi nowych metod.Mimo to wdrożenie metod DNSSEC rozpoczęło się na poziomie głównym na przełomie 2009 i 2010 roku, a wiele nowoczesnych systemów operacyjnych komputerowych jest wyposażonych w rozszerzenia bezpieczeństwa DNS.