Расширения безопасности системы доменных имен (DNS) (DNSSEC) являются средством защиты Интернета и его пользователей от возможных атак, которые могут отключить или затруднить доступ к основным службам именования в Интернете. Расширения безопасности позволяют DNS-серверам продолжать предоставлять свои функции трансляции адресов интернет-протокола (IP), но с дополнительным условием, что DNS-серверы аутентифицируются друг с другом, создавая серию доверительных отношений. Благодаря расширениям данные, совместно используемые DNS-серверами, также достигают уровня целостности, который обычно затруднен для существующего протокола, по которому передаются данные.

Первоначально DNS создавался как незащищенное общедоступное распределение имен и связанных с ними IP-адресов. Однако по мере роста Интернета возник ряд проблем, связанных с безопасностью DNS, конфиденциальностью и целостностью данных DNS. Что касается вопросов конфиденциальности, проблема была решена на ранней стадии путем правильной настройки DNS-серверов. Тем не менее, DNS-сервер может подвергаться ряду различных типов атак, таких как распределенный отказ в обслуживании (DDoS) и атаки переполнения буфера, которые могут повлиять на любой тип сервера. Однако для DNS характерна проблема отравления данных каким-либо внешним источником путем введения ложной информации.

DNSSEC был разработан целевой группой Интернет-инженеров (IETF) и подробно описан в нескольких документах с запросами на комментарии (RFC) с 4033 по 4035. Эти документы описывают безопасность DNS как достижимую с использованием методов аутентификации с открытым ключом. Для облегчения обработки на DNS-серверах используются только методы аутентификации, а не шифрование.

DNSSEC работает через создание доверительных отношений между различными уровнями иерархии DNS. На верхнем уровне корневой домен DNS устанавливается в качестве основного посредника между нижними доменами, такими как .com, .org и т. Д. Субдомены затем обращаются к корневому домену, действующему как так называемая доверенная третья сторона, чтобы проверить достоверность других, чтобы они могли обмениваться точными данными DNS друг с другом.

Одна проблема, которая возникает в результате методов, описанных в RFC, называется перечислением зон. Для внешнего источника становится возможным узнать личность каждого именованного компьютера в сети. Некоторые противоречия возникли с безопасностью DNS и проблемой перечисления зон из-за того факта, что, хотя DNS изначально не был разработан для обеспечения конфиденциальности, различные правовые и правительственные обязательства требуют, чтобы данные оставались конфиденциальными. Дополнительный протокол, описанный в RFC 5155, описывает средство для реализации дополнительных записей ресурсов в DNS, которые могут облегчить проблему, но не полностью ее устранить.

Другие проблемы с внедрением безопасности DNS связаны с совместимостью со старыми системами. Внедренные протоколы должны быть универсальными и, следовательно, понятными для всех компьютеров, серверов и клиентов, которые используют Интернет. Поскольку DNSSEC реализован посредством программных расширений DNS, возникли некоторые трудности с надлежащим обновлением старых систем для поддержки новых методов. Тем не менее, развертывание методов DNSSEC началось на корневом уровне в конце 2009 года и в начале 2010 года, и многие современные компьютерные операционные системы оснащены расширениями безопасности DNS.