DNS Security Extensions (DNSSEC) são um conjunto de padrões da Internet Engineering Task Force (IETF) criados para tratar de vulnerabilidades no Sistema de Nomes de Domínio (DNS) e protegê-lo de ameaças online. O objetivo do DNSSEC é aumentar a segurança da Internet como um todo, abordando os pontos fracos da segurança do DNS. Essencialmente, DNSSEC adiciona autenticação ao DNS para tornar o sistema mais seguro.
O Sistema de Nomes de Domínio gerencia a navegação na Internet, localizando nomes de domínio e mapeando-os para endereços IP. O DNS, como originalmente projetado, não tem meios de determinar se os dados de nomes de domínio vêm do proprietário do domínio autorizado ou foram forjados. Essa falha de segurança deixa o sistema vulnerável a vários ataques, como envenenamento de cache DNS, por exemplo.
Em um ataque de envenenamento de cache DNS, um intruso substitui um endereço IP válido em cache em uma tabela DNS por um endereço desonesto. Solicitações para o endereço válido são redirecionadas de acordo, e malware -- como um worm, spyware ou hijacker do navegador -- pode ser baixado para o computador do usuário a partir do local do desonesto. DNSSEC emprega chaves criptográficas e assinaturas digitais para garantir que os dados de pesquisa estejam corretos e que as conexões estejam em servidores legítimos.
Os elementos centrais do DNSSEC foram especificados em três Solicitações de Comentários da IETF, publicados em março de 2005: RFC 4033 - Introdução e Requisitos de Segurança DNS, RFC 4034 - Registros de Recursos para as Extensões de Segurança DNS, e RFC 4035 - Modificações de Protocolo para as Extensões de Segurança DNS.
A implementação do DNSSEC é um tanto complexa e é voluntária. Como resultado, a adoção tem sido lenta. Nos Estados Unidos, o governo federal mandatou a implementação do DNSSEC para redes governamentais. O National Institute of Standards and Technology (NIST) e a General Services Administration (GSA) implementaram os padrões dentro do domínio top level dot.gov. No entanto, a maioria das agências individuais ainda não cumpriram o mandato para domínios de segundo nível.
DNSSEC é oferecido como um serviço gerenciado; aparelhos DNSSEC que automatizam o processo também estão disponíveis em alguns vendedores.