DNSSEC (lyhenne sanoistaDomain Name System Security Extensions) onDNS-nimipalvelun laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys.[1]
Kehitys alkoi 1990-luvulla ratkaisemaan DNS:n haavoittuvuutta. DNS sellaisenaan ei voi varmistaa, että vastaus nimipalvelulle lähetetylle kyselylle tulee luotettavasta lähteestä, vaan vastaus voi olla hyökkääjän väärentämä (DNS spoofing). DNSSEC on digitaalinen allekirjoitus, jolla voidaan tarkistaa vastauksen olevan peräisin luotettavalta palvelimelta. DNSSEC käyttäädigitaalista allekirjoitusta jajulkisen avaimen salausmenetelmää.[2]DNS over TLS täydentää DNSSEC:in toimintaasalaamalla liikenteen, jolloin ulkopuolinen taho ei voi seurata kysyttäjä osoitteita.[3][4]
DNS:n haavoittuvuuksia on dokumentoituRFC-dokumentissaRFC 3833.Steven M. Bellovin kirjoitti DNS:n haavoittuvuuksista tunnetun julkaisun.[5]