DNS Security Extensions (DNSSEC) zijn een reeks standaarden van de Internet Engineering Task Force (IETF) die zijn gecreëerd om kwetsbaarheden in het DNS (Domain Name System) aan te pakken en het te beschermen tegen online bedreigingen. Het doel van DNSSEC is de beveiliging van het internet als geheel te verbeteren door de zwakke punten in de beveiliging van DNS aan te pakken. In wezen voegt DNSSEC authenticatie toe aan DNS om het systeem veiliger te maken.
Het Domain Name System beheert de internetnavigatie door domeinnamen te lokaliseren en deze aan IP-adressen toe te wijzen. DNS, zoals het oorspronkelijk is ontworpen, heeft geen manier om te bepalen of domeinnaamgegevens afkomstig zijn van de bevoegde domeineigenaar of dat ze zijn vervalst. Dit zwakke punt in de beveiliging maakt het systeem kwetsbaar voor een aantal aanvallen, zoals DNS cache poisoning.
Bij een DNS cache poisoning aanval vervangt een indringer een geldig IP-adres in de cache van een DNS-tabel door een malafide adres. Verzoeken naar het geldige adres worden omgeleid en malware, zoals een worm, spyware of browser hijacker, kan vanaf de malafide locatie naar de computer van de gebruiker worden gedownload. DNSSEC maakt gebruik van cryptografische sleutels en digitale handtekeningen om ervoor te zorgen dat de lookup-gegevens correct zijn en dat de verbindingen naar legitieme servers lopen.
De kernelementen van DNSSEC zijn gespecificeerd in drie Requests for Comments van de IETF die in maart 2005 zijn gepubliceerd: RFC 4033 - DNS Security Introduction and Requirements, RFC 4034 - Resource Records for the DNS Security Extensions, en RFC 4035 - Protocol Modifications for the DNS Security Extensions.
De implementatie van DNSSEC is enigszins complex en geschiedt op vrijwillige basis. Als gevolg daarvan is de invoering traag verlopen. In de Verenigde Staten heeft de federale overheid de implementatie van DNSSEC voor overheidsnetwerken verplicht gesteld. Het National Institute of Standards and Technology (NIST) en de General Services Administration (GSA) hebben de normen binnen het dot.gov-domein op topniveau geïmplementeerd. De meeste afzonderlijke agentschappen moeten echter nog voldoen aan het mandaat voor domeinen op het tweede niveau.
DNSSEC wordt aangeboden als een beheerde service; DNSSEC-apparaten die het proces automatiseren zijn ook verkrijgbaar bij sommige leveranciers.