Ekstensi keamanan sistem nama domain (DNS) (DNSSEC) adalah sarana untuk melindungi Internet dan penggunanya dari kemungkinan serangan yang dapat menonaktifkan, atau menghalangi akses ke, layanan penamaan penting di Internet. Ekstensi keamanan menciptakan cara bagi server DNS untuk terus menyediakan fungsi terjemahan alamat protokol Internet (IP), tetapi dengan ketentuan tambahan bahwa server DNS mengotentikasi satu sama lain dengan membuat serangkaian hubungan kepercayaan. Melalui ekstensi, data yang dibagikan di antara server DNS juga mencapai tingkat integritas yang biasanya sulit dibandingkan dengan protokol yang ada yang digunakan untuk mentransfer data.
Awalnya, DNS dibuat sebagai distribusi nama publik yang tidak aman dan alamat IP terkaitnya. Namun, seiring pertumbuhan Internet, sejumlah masalah berkembang terkait dengan keamanan DNS, privasi, dan integritas data DNS. Sehubungan dengan masalah privasi, masalah telah ditangani sejak awal dengan konfigurasi server DNS yang tepat. Namun, server DNS mungkin menjadi sasaran sejumlah jenis serangan yang berbeda, seperti penolakan layanan terdistribusi (DDoS) dan serangan buffer overflow, yang dapat memengaruhi semua jenis server. Khusus untuk DNS, adalah masalah beberapa sumber luar yang meracuni data dengan memasukkan informasi palsu.
DNSSEC dikembangkan oleh Internet engineering task force (IETF), dan dirinci dalam beberapa dokumen request for comment (RFC), 4033 hingga 4035. Dokumen-dokumen ini menjelaskan keamanan DNS dapat dicapai melalui penggunaan teknik otentikasi kunci publik. Untuk meringankan pemrosesan pada server DNS, hanya teknik otentikasi yang digunakan, dan bukan enkripsi.
Cara kerja DNSSEC adalah melalui penciptaan hubungan kepercayaan di antara berbagai tingkatan hierarki DNS. Di tingkat atas, domain root DNS ditetapkan sebagai perantara utama antara domain yang lebih rendah, seperti .com, .org, dan sebagainya. Sub-domain kemudian melihat ke domain root, bertindak sebagai apa yang disebut sebagai pihak ketiga tepercaya, untuk memvalidasi kredibilitas pihak lain sehingga mereka dapat berbagi data DNS yang akurat satu sama lain.
Salah satu masalah yang muncul sebagai akibat dari metode yang dijelaskan dalam RFC disebut enumerasi zona. Menjadi mungkin bagi sumber luar untuk mempelajari identitas setiap komputer bernama di jaringan. Beberapa kontroversi berkembang dengan keamanan DNS dan masalah enumerasi zona karena fakta bahwa meskipun DNS awalnya tidak dirancang untuk privasi, berbagai kewajiban hukum dan pemerintah mengharuskan data tetap pribadi. Protokol tambahan, yang dijelaskan dalam RFC 5155 menjelaskan cara untuk mengimplementasikan catatan sumber daya tambahan ke dalam DNS yang dapat mengatasi masalah, meskipun tidak menghapusnya sepenuhnya.
Masalah lain dengan penerapan keamanan DNS berkisar pada kompatibilitas dengan sistem yang lebih lama. Protokol yang diterapkan harus bersifat universal dan, oleh karena itu, dipahami oleh semua komputer, server, dan klien, yang menggunakan Internet. Karena DNSSEC diimplementasikan melalui ekstensi perangkat lunak ke DNS, bagaimanapun, beberapa kesulitan muncul dalam memperbarui sistem lama dengan benar untuk mendukung metode baru. Namun, penyebaran metode DNSSEC dimulai pada tingkat akar pada akhir 2009 dan awal 2010, dan banyak sistem operasi komputer modern dilengkapi dengan ekstensi keamanan DNS.