Säkerhetsförlängningar för domännamn (DNS) (DNSSEC) är ett sätt att skydda Internet och dess användare från möjliga attacker som kan inaktivera eller hindra åtkomst till de väsentliga namntjänsterna på Internet.Säkerhetsförlängningarna skapar ett sätt för DNS -servrarna att fortsätta att tillhandahålla sitt internetprotokoll (IP) adressöversättningsfunktioner, men med den extra bestämmelsen som DNS -servrarna autentiserar med varandra genom att skapa en serie förtroendeförhållanden.Genom tilläggen uppnår data som delas mellan DNS -servrarna också en nivå av integritet som normalt är svår över till det befintliga protokollet genom vilket data överförs.

Ursprungligen skapades DNS som en osäker, offentlig distribution av namn och namn och namnderas relaterade IP -adresser.När internet växte utvecklades emellertid ett antal problem relaterade till DNS -säkerhet, integritet och integriteten i DNS -data.När det gäller integritetsfrågor hanterades problemet tidigt genom korrekt konfiguration av DNS -servrar.Ändå är det möjligt för en DNS -server att utsättas för ett antal olika typer av attacker, såsom distribuerad förnekande av service (DDOS) och buffertattacker, vilket kan påverka alla typer av server.Specifikt för DNS är emellertid frågan om att vissa externa källor som förgiftar uppgifterna genom att introducera falsk information.

DNSSEC utvecklades av Internet Engineering Task Force (IETF) och beskrivs i flera begäran om kommentarer (RFC), 4033till och med 4035. Dessa dokument beskriver DNS -säkerhet som kan uppnås genom användning av offentlig nyckelautentiseringstekniker.För att lindra behandlingen på DNS -servrarna används endast autentiseringsteknikerna och inte kryptering.

Det sätt som DNSSEC fungerar är genom skapandet av förtroendeförhållanden mellan de olika nivåerna i DNS -hierarkin.På toppnivån upprättas rotdomänen för DNS som den primära mellanhanden mellan de lägre domänerna, såsom .com, .org och så vidare.Underdomäner tittar sedan på rotdomänen, fungerar som vad som kallas en pålitlig tredje part, för att validera de andra trovärdigheten så att de kan dela exakta DNS-data med varandra.

En fråga som dyker upp som ett resultat avMetoder som beskrivs i RFC: er kallas zonuppräkning.Det blir möjligt för en extern källa att lära sig identiteten för varje namngiven dator i ett nätverk.Vissa kontroverser utvecklades med DNS -säkerhet och uppräkningsproblemet på grund av att även om DNS inte ursprungligen var utformad för integritet, kräver olika juridiska och myndigheter att uppgifterna förblir privata.Ett ytterligare protokoll, som beskrivs i RFC 5155, beskriver ett sätt att implementera ytterligare resursregister i DNS som kan lindra problemet, men inte ta bort det helt.

Andra problem med att implementera DNS -säkerheten roterar kring kompatibilitet med äldre system.De implementerade protokollen måste vara universella och därför förstås av alla datorer, servrar och klienter, som använder internet.Eftersom DNSSEC implementeras genom programvaruförlängningar till DNS, uppstod dock vissa svårigheter att få äldre system korrekt uppdaterade för att stödja de nya metoderna.Fortfarande började utplaceringen av DNSSEC -metoderna på rotnivån i slutet av 2009 och början av 2010, och många moderna datoroperativsystem är utrustade med DNS -säkerhetsförlängningarna.