Rozszerzenia zabezpieczeń systemu nazw domen (DNS) (DNSSEC) są środkiem do ochrony Internetu i jego użytkowników przed możliwymi atakami, które mogą uniemożliwić lub utrudnić dostęp do podstawowych usług nazewnictwa w Internecie. Rozszerzenia zabezpieczeń umożliwiają serwerom DNS dalsze udostępnianie funkcji translacji adresów protokołu internetowego (IP), ale z dodatkową możliwością uwierzytelniania między serwerami DNS poprzez tworzenie serii relacji zaufania. Dzięki rozszerzeniom dane udostępniane przez serwery DNS osiągają również poziom integralności, który zwykle jest trudny do przejścia z istniejącym protokołem, za pomocą którego dane są przesyłane.
Pierwotnie DNS został stworzony jako niezabezpieczona, publiczna dystrybucja nazw i powiązanych z nimi adresów IP. Wraz z rozwojem Internetu pojawiło się jednak wiele problemów związanych z bezpieczeństwem DNS, prywatnością i integralnością danych DNS. Jeśli chodzi o kwestie prywatności, problem został rozwiązany wcześnie poprzez odpowiednią konfigurację serwerów DNS. Mimo to możliwe jest, że serwer DNS zostanie poddany wielu różnym rodzajom ataków, takich jak rozproszona odmowa usługi (DDoS) i ataki przepełnienia bufora, które mogą mieć wpływ na każdy rodzaj serwera. Specyficzna dla DNS jest jednak kwestia, że niektóre zewnętrzne źródła zatruwają dane, wprowadzając fałszywe informacje.
DNSSEC został opracowany przez grupę zadaniową ds. inżynierii internetowej (IETF) i został szczegółowo opisany w kilku dokumentach RFC, od 4033 do 4035. Dokumenty te opisują bezpieczeństwo DNS jako osiągalne przy użyciu technik uwierzytelniania klucza publicznego. Aby złagodzić przetwarzanie na serwerach DNS, używane są tylko techniki uwierzytelniania, a nie szyfrowanie.
Sposób działania DNSSEC polega na tworzeniu relacji zaufania między różnymi warstwami hierarchii DNS. Na najwyższym poziomie domena główna DNS jest ustanawiana jako główny pośrednik między niższymi domenami, takimi jak .com, .org i tak dalej. Subdomeny następnie spoglądają na domenę główną, działając jako tak zwana zaufana strona trzecia, aby zweryfikować wiarygodność innych, aby mogły udostępniać sobie nawzajem dokładne dane DNS.
Jednym z problemów, który pojawia się w wyniku metod opisanych w dokumentach RFC, jest wyliczanie stref. Zewnętrzne źródło może poznać tożsamość każdego nazwanego komputera w sieci. Pewne kontrowersje pojawiły się w związku z bezpieczeństwem DNS i problemem wyliczania stref ze względu na fakt, że chociaż DNS nie był pierwotnie zaprojektowany do ochrony prywatności, różne zobowiązania prawne i rządowe wymagają, aby dane pozostały prywatne. Dodatkowy protokół, opisany w RFC 5155, opisuje sposób implementacji dodatkowych rekordów zasobów w DNS, które mogą złagodzić problem, ale nie usunąć go całkowicie.
Inne problemy z implementacją zabezpieczeń DNS dotyczą kompatybilności ze starszymi systemami. Zaimplementowane protokoły muszą być uniwersalne, a zatem rozumiane zarówno przez wszystkie komputery, serwery, jak i klientów korzystających z Internetu. Ponieważ DNSSEC jest implementowany za pomocą rozszerzeń oprogramowania DNS, pojawiły się jednak pewne trudności we właściwym zaktualizowaniu starszych systemów w celu obsługi nowych metod. Mimo to wdrażanie metod DNSSEC rozpoczęło się na poziomie głównym na przełomie 2009 i 2010 roku, a wiele nowoczesnych komputerowych systemów operacyjnych jest wyposażonych w rozszerzenia bezpieczeństwa DNS.