Die Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung bestehender Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen ergänzen.
Dadurch kann man verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat.
DNSSEC wurde als Mittel gegen das sog. „Cache Poisoning“ entwickelt. Es sichert die Datenübertragung der „Resource Records“ durch digitale Signaturen ab.
DNSSEC sichert die Authentizität der Informationen durch eine digitale Signatur ab. Um eine sehr sichere Authentifizierung zu gewährleisten, muss der Public Key einer Zone (bzw. dessen Hash) in den zentralen Server, der den Namen auflösen soll, manuell eingebracht werden. Da normalerweise jede Zone einen anderen Schlüssel besitzt, der sich zudem regelmäßig ändert, kann die Schlüsselverwaltung sehr aufwändig werden. Das bedeutet einen erhöhten Aufwand für DNS-Provider.
Mit Hilfe eines Browser-Addons kann man sich die DNSSEC-und TLSA-Unterstützung anzeigen lassen. Gängige Browser bieten diese Option (DNSSEC/TLSA Validator, DNSSECValidatorPlugin).