Le estensioni di sicurezza del sistema dei nomi di dominio (DNS) (DNSSEC) sono un mezzo per proteggere Internet e i suoi utenti da possibili attacchi che potrebbero disabilitare o ostacolare l’accesso ai servizi di denominazione essenziali su Internet. Le estensioni di sicurezza creano un modo per i server DNS di continuare a fornire le loro funzioni di traduzione degli indirizzi del protocollo Internet (IP), ma con l’ulteriore disposizione che i server DNS si autentichino tra loro creando una serie di relazioni di fiducia. Attraverso le estensioni, i dati condivisi tra i server DNS raggiungono anche un livello di integrità normalmente difficile rispetto al protocollo esistente con cui vengono trasferiti i dati.
Originariamente, il DNS è stato creato come distribuzione pubblica e non protetta di nomi e dei relativi indirizzi IP. Con la crescita di Internet, tuttavia, si sono sviluppati numerosi problemi relativi alla sicurezza DNS, alla privacy e all’integrità dei dati DNS. Per quanto riguarda le questioni relative alla privacy, il problema è stato affrontato nella fase iniziale mediante una corretta configurazione dei server DNS. Tuttavia, è possibile che un server DNS sia soggetto a una serie di diversi tipi di attacchi, come DDoS (Distributed Denial of Service) e attacchi di overflow del buffer, che possono colpire qualsiasi tipo di server. Specifico per il DNS, tuttavia, è il problema di alcune fonti esterne che avvelenano i dati introducendo informazioni false.
DNSSEC è stato sviluppato dall’Internet Engineering Task Force (IETF) e dettagliato in diversi documenti di richiesta di commento (RFC), dal 4033 al 4035. Questi documenti descrivono la sicurezza DNS come ottenibile attraverso l’uso di tecniche di autenticazione a chiave pubblica. Per alleviare l’elaborazione sui server DNS, vengono utilizzate solo le tecniche di autenticazione e non la crittografia.
Il modo in cui funziona DNSSEC è attraverso la creazione di relazioni di fiducia tra i diversi livelli della gerarchia DNS. Al livello più alto, il dominio principale del DNS è stabilito come intermediario principale tra i domini inferiori, come .com, .org e così via. I sottodomini guardano quindi al dominio principale, agendo come una cosiddetta terza parte fidata, per convalidare la credibilità degli altri in modo che possano condividere dati DNS accurati l’uno con l’altro.
Un problema che si presenta come risultato dei metodi descritti nelle RFC è chiamato enumerazione delle zone. Diventa possibile per una fonte esterna apprendere l’identità di ogni computer con nome su una rete. Alcune controversie si sono sviluppate con la sicurezza del DNS e il problema dell’enumerazione delle zone a causa del fatto che anche se il DNS non è stato originariamente progettato per la privacy, vari obblighi legali e governativi richiedono che i dati rimangano privati. Un protocollo aggiuntivo, descritto in RFC 5155, descrive un mezzo per implementare record di risorse aggiuntive nel DNS che può alleviare il problema, anche se non rimuoverlo del tutto.
Altri problemi con l’implementazione della sicurezza DNS ruotano attorno alla compatibilità con i sistemi precedenti. I protocolli implementati devono essere universali e, quindi, compresi da tutti i computer, server e client che utilizzano Internet. Poiché DNSSEC è implementato tramite estensioni software al DNS, tuttavia, sono emerse alcune difficoltà nell’aggiornare correttamente i vecchi sistemi per supportare i nuovi metodi. Tuttavia, l’implementazione dei metodi DNSSEC è iniziata a livello radice alla fine del 2009 e all’inizio del 2010 e molti moderni sistemi operativi per computer sono dotati delle estensioni di sicurezza DNS.