DNS Security Extensions (DNSSEC) sono un insieme di standard IETF (Internet Engineering Task Force) creati per affrontare le vulnerabilità nel Domain Name System (DNS) e proteggerlo dalle minacce online. Lo scopo di DNSSEC è aumentare la sicurezza di Internet nel suo complesso affrontando i punti deboli della sicurezza DNS. In sostanza, DNSSEC aggiunge l'autenticazione al DNS per rendere il sistema più sicuro.
Il Domain Name System gestisce la navigazione in Internet individuando i nomi di dominio e mappandoli agli indirizzi IP. Il DNS, come originariamente progettato, non ha mezzi per determinare se i dati del nome di dominio provengono dal proprietario del dominio autorizzato o sono stati falsificati. Questa debolezza della sicurezza rende il sistema vulnerabile a una serie di attacchi, come ad esempio l'avvelenamento della cache DNS.
In un attacco di avvelenamento della cache DNS, un intruso sostituisce un indirizzo IP valido memorizzato nella cache in una tabella DNS con un indirizzo non autorizzato. Le richieste di un indirizzo valido vengono reindirizzate di conseguenza e il malware, come un worm, uno spyware o un dirottatore del browser, può essere scaricato sul computer dell'utente dalla posizione canaglia. DNSSEC utilizza chiavi crittografiche e firme digitali per garantire che i dati di ricerca siano corretti e che le connessioni siano a server legittimi.
Gli elementi principali di DNSSEC sono stati specificati in tre Richieste di commenti IETF pubblicate nel marzo 2005: RFC 4033 - Introduzione alla sicurezza DNS e requisiti, RFC 4034 - Record di risorse per le estensioni di sicurezza DNS e RFC 4035 - Modifiche al protocollo per le estensioni di sicurezza DNS.
L'implementazione di DNSSEC è piuttosto complessa ed è su base volontaria. Di conseguenza, l'adozione è stata lenta. Negli Stati Uniti, il governo federale ha incaricato l'implementazione di DNSSEC per le reti governative. Il National Institute of Standards and Technology (NIST) e la General Services Administration (GSA) hanno implementato gli standard all'interno del dominio dot.gov di primo livello. Tuttavia, la maggior parte delle singole agenzie deve ancora soddisfare il mandato per i domini di secondo livello.
DNSSEC è offerto come servizio gestito; Le appliance DNSSEC che automatizzano il processo sono disponibili anche presso alcuni fornitori.