Domännamnssystemet (DNS) säkerhetstillägg (DNSSEC) är ett sätt att skydda Internet och dess användare från möjliga attacker som kan inaktivera eller hindra åtkomst till de viktiga namntjänsterna på Internet. Säkerhetstilläggen skapar ett sätt för DNS-servrarna att fortsätta tillhandahålla sina översättningsfunktioner för Internetprotokoll (IP)-adress, men med den extra förutsättningen att DNS-servrarna autentiserar med varandra genom att skapa en serie förtroenderelationer. Genom tilläggen uppnår data som delas mellan DNS-servrarna också en nivå av integritet som normalt är svår över till det befintliga protokollet som data överförs med.
Ursprungligen skapades DNS som en osäkrad, offentlig distribution av namn och deras relaterade IP-adresser. I takt med att Internet växte utvecklades dock ett antal problem relaterade till DNS-säkerhet, integritet och DNS-datas integritet. När det gäller integritetsfrågor hanterades problemet tidigt genom korrekt konfiguration av DNS-servrar. Ändå är det möjligt för en DNS-server att utsättas för ett antal olika typer av attacker, såsom distribuerad denial of service (DDoS) och buffertspillsattacker, vilket kan påverka vilken typ av server som helst. Specifikt för DNS är dock frågan om att någon extern källa förgiftar data genom att införa falsk information.
DNSSEC utvecklades av Internet Engineering Task Force (IETF) och beskrivs i flera dokument med begäran om kommentarer (RFC), 4033 till 4035. Dessa dokument beskriver DNS-säkerhet som möjlig att uppnå genom användning av autentiseringstekniker för offentliga nycklar. För att underlätta bearbetningen på DNS-servrarna används endast autentiseringstekniker och inte kryptering.
Sättet DNSSEC fungerar är genom att skapa förtroenderelationer mellan de olika nivåerna i DNS-hierarkin. På toppnivån är rotdomänen för DNS etablerad som den primära mellanhanden mellan de lägre domänerna, såsom .com, .org och så vidare. Underdomäner tittar sedan på rotdomänen, och fungerar som vad som kallas en betrodd tredje part, för att validera de andras trovärdighet så att de kan dela korrekt DNS-data med varandra.
En fråga som dyker upp som ett resultat av de metoder som beskrivs i RFC:erna kallas zonuppräkning. Det blir möjligt för en extern källa att lära sig identiteten för varje namngiven dator i ett nätverk. Vissa kontroverser utvecklades med DNS-säkerhet och zonuppräkningsproblemet på grund av det faktum att även om DNS ursprungligen inte utformades för integritet, kräver olika juridiska och statliga skyldigheter att uppgifterna förblir privata. Ett ytterligare protokoll, beskrivet i RFC 5155, beskriver ett sätt att implementera ytterligare resursposter i DNS som kan lindra problemet, men inte ta bort det helt.
Andra problem med att implementera DNS-säkerhet kretsar kring kompatibilitet med äldre system. De implementerade protokollen måste vara universella och därför förstås av alla datorer, servrar och klienter som använder Internet. Eftersom DNSSEC implementeras i form av mjukvarutillägg till DNS, uppstod dock vissa svårigheter med att få äldre system korrekt uppdaterade för att stödja de nya metoderna. Fortfarande började distributionen av DNSSEC-metoderna på rotnivå i slutet av 2009 och början av 2010, och många moderna datoroperativsystem är utrustade med DNS-säkerhetstillägg.