Extensiile de securitate ale sistemului de nume de domeniu (DNS) (DNSSEC) sunt un mijloc de a proteja Internetul și utilizatorii săi de posibile atacuri care pot dezactiva sau împiedica accesul la serviciile esențiale de denumire de pe Internet. Extensiile de securitate creează o modalitate prin care serverele DNS pot continua să ofere funcțiile de traducere a adreselor de protocol de Internet (IP), dar cu prevederea suplimentară ca serverele DNS să se autentifice între ele prin crearea unei serii de relații de încredere. Prin extensii, datele partajate între serverele DNS atinge, de asemenea, un nivel de integritate care este în mod normal dificil de raportat la protocolul existent prin care sunt transferate datele.
Inițial, DNS-ul a fost creat ca o distribuție publică nesecurizată a numelor și a adreselor IP aferente acestora. Cu toate acestea, pe măsură ce Internetul a crescut, au apărut o serie de probleme legate de securitatea DNS, confidențialitatea și integritatea datelor DNS. În ceea ce privește problemele de confidențialitate, problema a fost rezolvată devreme prin configurarea corectă a serverelor DNS. Totuși, este posibil ca un server DNS să fie supus unui număr de tipuri diferite de atacuri, cum ar fi atacuri distribuite de refuz de serviciu (DDoS) și atacuri de depășire a bufferului, care pot afecta orice tip de server. Cu toate acestea, specifică DNS-ului este problema unei surse externe care otrăvește datele prin introducerea de informații false.
DNSSEC a fost dezvoltat de grupul de lucru pentru inginerie Internet (IETF) și detaliat în mai multe documente de cerere de comentarii (RFC), 4033 până la 4035. Aceste documente descriu securitatea DNS ca fiind realizabilă prin utilizarea tehnicilor de autentificare cu chei publice. Pentru a ușura procesarea pe serverele DNS, sunt folosite doar tehnicile de autentificare, și nu criptarea.
Modul în care funcționează DNSSEC este prin crearea de relații de încredere între diferitele niveluri ale ierarhiei DNS. La nivelul superior, domeniul rădăcină al DNS este stabilit ca intermediar principal între domeniile inferioare, cum ar fi .com, .org și așa mai departe. Subdomeniile caută apoi domeniul rădăcină, acționând ca ceea ce se numește o terță parte de încredere, pentru a valida credibilitatea celorlalți, astfel încât să poată partaja date DNS exacte între ei.
O problemă care apare ca urmare a metodelor descrise în RFC-uri se numește enumerarea zonei. Devine posibil ca o sursă externă să învețe identitatea fiecărui computer numit dintr-o rețea. S-au dezvoltat unele controverse cu securitatea DNS și problema enumerarii zonei din cauza faptului că, deși DNS-ul nu a fost conceput inițial pentru confidențialitate, diverse obligații legale și guvernamentale impun ca datele să rămână private. Un protocol suplimentar, descris în RFC 5155, descrie un mijloc de implementare a înregistrărilor de resurse suplimentare în DNS care poate atenua problema, deși nu o elimina complet.
Alte probleme legate de implementarea securității DNS gravitează în jurul compatibilității cu sisteme mai vechi. Protocoalele implementate trebuie să fie universale și, prin urmare, înțelese de toate computerele, serverele și clienții deopotrivă care folosesc Internetul. Deoarece DNSSEC este implementat prin intermediul extensiilor software pentru DNS, totuși, au apărut unele dificultăți în actualizarea corectă a sistemelor mai vechi pentru a suporta noile metode. Totuși, implementarea metodelor DNSSEC a început la nivel rădăcină la sfârșitul anului 2009 și începutul anului 2010, iar multe sisteme de operare computerizate moderne sunt echipate cu extensii de securitate DNS.