Le système de nom de domaine (DNS) extensions de sécurité DNSSEC () sont un moyen de protéger l'Internet et ses utilisateurs contre les attaques possibles susceptibles d'empêcher ou d'entraver l'accès à des services essentiels de nommage sur Internet. Les extensions de sécurité de créer une façon pour les serveurs DNS de continuer à fournir leur protocole Internet (IP) des fonctions de traduction d'adresses, mais avec la mise à disposition ajouté que les serveurs DNS authentifier les uns avec les autres en créant une série de relations de confiance. Grâce aux extensions, les données partagées entre les serveurs DNS atteint également un niveau d'intégrité qui est normalement difficile sur le protocole existant par lequel les données sont transférées.
À l'origine, le DNS a été créé comme un prêt non garanti, la distribution publique des noms et leurs adresses IP associées. Comme l'Internet a augmenté, cependant, un certain nombre de problèmes liés à DNS développé la sécurité, la confidentialité et l'intégrité des données DNS. En ce qui concerne les questions de confidentialité, le problème a été traité dès le début par la bonne configuration des serveurs DNS. Pourtant, il est possible pour un serveur DNS pour être soumis à un certain nombre de différents types d'attaques, telles que le déni de service distribué (DDoS) et les attaques par dépassement de tampon, ce qui peut affecter n'importe quel type de serveur. Spécifique à la DNS, cependant, c'est la question d'une certaine intoxication source extérieure les données en introduisant de fausses informations.
DNSSEC a été développé par l'Internet Engineering Task Force (IETF), et détaillé dans la demande de plusieurs de commentaires (RFC) des documents, 4033 par 4035. Ces documents décrivent la sécurité DNS comme réalisable grâce à l'utilisation de techniques d'authentification publics clés. Pour alléger le traitement sur les serveurs DNS, seules les techniques d'authentification sont utilisés, et non le chiffrement.
La façon dont fonctionne DNSSEC est à travers la création de relations de confiance entre les différents niveaux de la hiérarchie DNS. Au niveau supérieur, le domaine racine du DNS est établi comme le principal intermédiaire entre les domaines inférieurs, tels que. Com,. Org, et ainsi de suite. Sous-domaines puis regardez dans le domaine racine, agissant comme ce qu'on appelle un tiers de confiance, afin de valider la crédibilité des autres afin qu'ils puissent partager des données précises DNS uns avec les autres.
Une question qui surgit à la suite des méthodes décrites dans les RFC est appelé énumération zone. Il devient possible d'une source extérieure d'apprendre l'identité de chaque ordinateur nommé sur un réseau. Une controverse développée avec la sécurité du DNS et le problème d'énumération zone en raison du fait que même si les DNS n’ont pas été conçu à l'origine de la vie privée, diverses obligations juridiques et gouvernementales exigent que les données restent privées. Un protocole additionnel, décrit dans la RFC 5155 décrit un moyen de mettre en œuvre les enregistrements de ressources supplémentaires dans le DNS qui peuvent atténuer le problème, mais pas le supprimer entièrement.
D'autres problèmes avec la mise en œuvre de la sécurité DNS tournent autour de la compatibilité avec les anciens systèmes. Les protocoles mis en œuvre doit être universel et, par conséquent, compris par tous les ordinateurs, les serveurs et les clients, qui utilisent l'Internet. Depuis DNSSEC est mis en œuvre par le biais d'extensions logicielles à la DNS, cependant, quelques difficultés apparues à obtenir des systèmes plus anciens correctement mis à jour afin de soutenir les nouvelles méthodes. Cependant, le déploiement des méthodes DNSSEC a commencé à la racine à la fin 2009 et début 2010, et de nombreux systèmes d'exploitation modernes sont équipés d'ordinateurs avec les extensions de sécurité DNS.