Las extensiones de seguridad del sistema de nombres de dominio (DNS) (DNSSEC) son un medio para proteger Internet y sus usuarios de posibles ataques que pueden deshabilitar u obstaculizar el acceso a los servicios de nombres esenciales en Internet. Las extensiones de seguridad crean una forma para que los servidores DNS continúen brindando sus funciones de traducción de direcciones de protocolo de Internet (IP), pero con la provisión adicional de que los servidores DNS se autentican entre sí mediante la creación de una serie de relaciones de confianza. A través de las extensiones, los datos compartidos entre los servidores DNS también logran un nivel de integridad que normalmente es difícil con respecto al protocolo existente mediante el cual se transfieren los datos.
Originalmente, el DNS se creó como una distribución pública no segura de nombres y sus direcciones IP relacionadas. Sin embargo, a medida que Internet crecía, se desarrollaron una serie de problemas relacionados con la seguridad, la privacidad y la integridad de los datos del DNS. Con respecto a los problemas de privacidad, el problema se resolvió desde el principio mediante la configuración adecuada de los servidores DNS. Aún así, es posible que un servidor DNS esté sujeto a varios tipos diferentes de ataques, como ataques de denegación de servicio distribuida (DDoS) y desbordamiento de búfer, que pueden afectar a cualquier tipo de servidor. Sin embargo, específico del DNS es el problema de que alguna fuente externa envenene los datos al introducir información falsa.
DNSSEC fue desarrollado por el grupo de trabajo de ingeniería de Internet (IETF) y detallado en varios documentos de solicitud de comentarios (RFC), 4033 a 4035. Estos documentos describen la seguridad del DNS como alcanzable mediante el uso de técnicas de autenticación de clave pública. Para aliviar el procesamiento en los servidores DNS, solo se utilizan las técnicas de autenticación y no el cifrado.
La forma en que funciona DNSSEC es mediante la creación de relaciones de confianza entre los diferentes niveles de la jerarquía de DNS. En el nivel superior, el dominio raíz del DNS se establece como el intermediario principal entre los dominios inferiores, como .com, .org, etc. Los subdominios luego miran al dominio raíz, actuando como lo que se llama un tercero confiable, para validar la credibilidad de los demás para que puedan compartir datos DNS precisos entre sí.
Un problema que surge como resultado de los métodos descritos en las RFC se llama enumeración de zona. Es posible que una fuente externa conozca la identidad de cada computadora nombrada en una red. Se desarrolló cierta controversia con la seguridad del DNS y el problema de enumeración de zonas debido al hecho de que aunque el DNS no fue diseñado originalmente para la privacidad, varias obligaciones legales y gubernamentales requieren que los datos permanezcan privados. Un protocolo adicional, descrito en RFC 5155 describe un medio para implementar registros de recursos adicionales en el DNS que pueden aliviar el problema, aunque no eliminarlo por completo.
Otros problemas con la implementación de la seguridad de DNS giran en torno a la compatibilidad con sistemas más antiguos. Los protocolos implementados deben ser universales y, por lo tanto, entendidos por todos los equipos, servidores y clientes que utilizan Internet. Dado que DNSSEC se implementa mediante extensiones de software al DNS, sin embargo, surgieron algunas dificultades para actualizar correctamente los sistemas más antiguos para admitir los nuevos métodos. Aún así, la implementación de los métodos DNSSEC comenzó en el nivel raíz a fines de 2009 y principios de 2010, y muchos sistemas operativos de computadoras modernos están equipados con extensiones de seguridad DNS.