DNS -suojauslaajennukset (DNS) suojaavat Internetiä ja sen käyttäjiä mahdollisilta hyökkäyksiltä, jotka voivat poistaa käytöstä tai estää pääsyn olennaisiin Internet -nimipalveluihin. Suojauslaajennukset luovat tavan, jolla DNS -palvelimet voivat edelleen tarjota Internet -protokollan (IP) osoitteen käännöstoimintoja, mutta lisämääräyksenä on, että DNS -palvelimet todentavat toistensa luomalla sarjan luottamussuhteita. Laajennusten kautta DNS -palvelimien kesken jaetut tiedot saavuttavat myös eheyden tason, joka on yleensä vaikeaa nykyiselle protokollalle, jolla tiedot siirretään.
Alun perin DNS luotiin nimien ja niihin liittyvien IP -osoitteiden suojaamattomana julkisena jakeluna. Internetin kasvaessa kuitenkin kehittyi useita ongelmia, jotka liittyivät DNS -suojaukseen, yksityisyyteen ja DNS -tietojen eheyteen. Tietosuojaongelmien osalta ongelma ratkaistiin varhain DNS -palvelimien oikealla kokoonpanolla. On kuitenkin mahdollista, että DNS -palvelin joutuu alttiiksi monenlaisille hyökkäyksille, kuten hajautetulle palvelunestohyökkäykselle (DDoS) ja puskurin ylivuotohyökkäyksille, jotka voivat vaikuttaa minkä tahansa tyyppisiin palvelimiin. DNS: lle on kuitenkin ominaista, että jotkut ulkopuoliset lähteet myrkyttävät tiedot tuomalla vääriä tietoja.
DNSSEC: n on kehittänyt Internetin suunnittelutyöryhmä (IETF), ja se on kuvattu useissa RFC -asiakirjoissa (4033–4035). Näissä asiakirjoissa kuvataan DNS -suojaus saavutettavana käyttämällä julkisen avaimen todennustekniikoita. DNS -palvelimien käsittelyn helpottamiseksi käytetään vain todennustekniikoita, ei salausta.
Tapa, jolla DNSSEC toimii, on luottamussuhteiden luominen DNS -hierarkian eri tasojen välille. Ylätasolla DNS: n juurialue määritetään ensisijaiseksi välittäjäksi alempien verkkotunnusten, kuten .com, .org ja niin edelleen, välille. Tämän jälkeen aliverkkotunnukset etsivät pääverkkotunnusta, joka toimii niin kutsuttujen luotettavien kolmansien osapuolten tavoin, vahvistaakseen muiden uskottavuuden, jotta ne voivat jakaa tarkkoja DNS-tietoja keskenään.
Yksi ongelma, joka tulee esiin RFC: ssä kuvattujen menetelmien seurauksena, on nimeltään vyöhykkeenlaskenta. Ulkopuolisen lähteen on mahdollista oppia tunnistamaan verkon jokainen nimetty tietokone. Jotkut kiistat kehittyivät DNS -suojauksen ja vyöhykkeiden luetteloinnin ongelman vuoksi, koska vaikka DNS ei alun perin suunniteltu yksityisyyteen, erilaiset lakisääteiset ja valtion velvoitteet edellyttävät tietojen pysymistä yksityisinä. RFC 5155: ssä kuvattu lisäprotokolla kuvaa keinon lisätä resurssitietueita DNS: ään, mikä voi lievittää ongelmaa, mutta ei poista sitä kokonaan.
Muut ongelmat DNS -suojauksen käyttöönotossa liittyvät yhteensopivuuteen vanhempien järjestelmien kanssa. Toteutettujen protokollien on oltava yleismaailmallisia ja siksi kaikkien Internetiä käyttävien tietokoneiden, palvelimien ja asiakkaiden ymmärrettävissä. Koska DNSSEC toteutetaan DNS -ohjelmiston laajennuksilla, vanhojen järjestelmien päivittämisessä uusiin menetelmiin on kuitenkin ilmennyt vaikeuksia. Silti DNSSEC -menetelmien käyttöönotto alkoi juuritasolla vuoden 2009 lopulla ja vuoden 2010 alussa, ja monet nykyaikaiset tietokoneiden käyttöjärjestelmät on varustettu DNS -suojauslaajennuksilla.