Etki alanı adı sistemi (DNS) güvenlik uzantıları (DNSSEC), Internet'i ve kullanıcılarını, Internet'teki temel adlandırma hizmetlerini devre dışı bırakabilecek veya erişimi engelleyebilecek olası saldırılardan korumanın bir yoludur. Güvenlik uzantıları, DNS sunucularının Internet protokolü (IP) adres çeviri işlevlerini sağlamaya devam etmelerinin bir yolunu oluşturur; ancak, DNS sunucularının bir dizi güven ilişkisi oluşturarak birbirleriyle kimlik doğrulaması yapmalarını da sağlar. Eklentiler aracılığıyla, DNS sunucuları arasında paylaşılan veriler de normalde verilerin aktarıldığı protokolde zor olan bir bütünlük düzeyi elde eder.
Başlangıçta, DNS güvenli olmayan, adların ve ilgili IP adreslerinin halka açık bir dağılımı olarak oluşturuldu. Bununla birlikte, İnternet büyüdükçe, DNS güvenliği, gizliliği ve DNS verilerinin bütünlüğü ile ilgili bir takım sorunlar da gelişti. Gizlilik sorunları ile ilgili olarak, sorun daha önce DNS sunucularının doğru yapılandırılmasıyla çözüldü. Yine de, bir DNS sunucusunun, her türden sunucuyu etkileyebilecek dağıtılmış hizmet reddi (DDoS) ve arabellek taşması saldırıları gibi çeşitli saldırı türlerine maruz bırakılması mümkündür. DNS'ye özgü olsa da, yanlış bilgiler getirerek verileri zehirleyen bazı dış kaynak sorunudur.
DNSSEC, İnternet mühendisliği görev kuvveti (IETF) tarafından geliştirilmiştir ve çeşitli yorum (RFC) belgeleri, 4033 - 4035 arasında detaylı bir şekilde açıklanmıştır. DNS sunucularında işlemeyi hafifletmek için, yalnızca kimlik doğrulama teknikleri kullanılır, şifreleme kullanılmaz.
DNSSEC'nin çalışma şekli, DNS hiyerarşisinin farklı katmanları arasında güven ilişkileri oluşturma yoluyla gerçekleşir. En üst seviyede, DNS'in kök alanı, .com, .org ve benzeri gibi alt alanlar arasındaki birincil aracı olarak kurulur. Alt alanlar daha sonra, güvenilir bir üçüncü taraf olarak adlandırılan, diğerlerinin güvenilirliğini doğrulamak ve böylece doğru DNS verilerini birbirleriyle paylaşabilmelerini sağlamak için kök etki alanını arar.
RFC'lerde açıklanan yöntemlerin sonucu ortaya çıkan sorunlardan biri bölge sayımıdır. Dışarıdaki bir kaynağın, ağdaki adlandırılmış her bilgisayarın kimliğini öğrenmesi mümkün hale gelir. DNS güvenliği ve bölge numaralandırma problemi ile ilgili bazı tartışmalar, DNS aslında gizlilik için tasarlanmamış olsa da, çeşitli yasal ve devlet yükümlülükleri verilerin gizli kalmasını gerektirmektedir. RFC 5155'te açıklanan ek bir protokol, tamamen giderilmese de, sorunu giderebilecek DNS'ye ek kaynak kayıtlarının uygulanması için bir yol tarif eder.
DNS güvenliğinin uygulanmasıyla ilgili diğer sorunlar, eski sistemlerle uyumluluk etrafında döner. Uygulanan protokoller evrensel olmalı ve bu nedenle İnternet'i kullanan tüm bilgisayarlar, sunucular ve istemciler tarafından anlaşılmalıdır. DNSSEC, DNS’e yazılım uzantıları yoluyla uygulandığı için, yeni yöntemleri desteklemek amacıyla eski sistemlerin doğru şekilde güncelleştirilmesinde bazı zorluklar ortaya çıkmıştır. Yine de, DNSSEC yöntemlerinin kullanımı 2009 yılının sonlarında ve 2010'un başlarında kök düzeyinde başladı ve birçok modern bilgisayar işletim sistemi DNS güvenlik uzantılarıyla donatıldı.
