域名系统安全扩展(DNSSec)是Internet工程任务组的对确保由域名系统中提供的关于互联网协议 网络使用特定类型的信息规格套件。它是对DNS提供给DNS客户端的DNS数据来源进行认证,并验证不存在性和校验数据完整性验证。
DNSSec(域名系统安全扩展,Domain Name System Security Extensions)是 Internet 工程任务组 (IETF)的对确保由域名系统 (DNS)中提供的关于互联网协议 (IP)网络使用特定类型的信息规格套件。它是对 DNS 提供给 DNS 客户端(解析器)的 DNS 数据来源进行认证,并验证不存在性和校验数据完整性验证,但不提供或机密性和可用性。
域名系统(DNS)的原始设计不包含任何安全细节;相反的,它被设计成一个可扩增的分散式系统(Distributed system)。域名系统安全扩展(DNSSEC)尝试在其中添加安全性,同时仍保持向后兼容性。 RFC 3833 记录了 DNS 的一些已知威胁以及 DNSSEC 如何应对这些威胁。
DNSSEC 旨在保护应用程式(以及服务这些应用程式的缓存解析器)免受伪造或不当操纵的 DNS 数据所造成的影响(例如域名服务器缓存污染的数据)。来自 DNSSEC 保护区的所有答案都经过数位签章。通过检验数位签章,DNS 解析器可以核查信息是否与区域所有者发布的信息相同(未修改和完整),并确系实际负责的 DNS 服务器所提供。虽然保护 IP 地址的正确性是许多用户关注 DNSSEC 的直接课题,DNSSEC 还可以保护 DNS 中发布的其他任何数据:包括文本记录(TXT)和邮件交换记录(MX),并可用于引导发布参照存储在 DNS 中的加密证书的其他安全系统:例如证书记录(CERT 记录,RFC 4398),SSH 指纹(SSHFP,RFC 4255),IPSec 公钥(IPSECKEY,RFC 4025)和 TLS 信任锚(TLSA,RFC 6698)。
2010 年 7 月 18 日,根域名服务器(root-servers.net)已经完成 DNSSEC 签名。
目前已部署在.com、.net、.org、.int、.edu、.mil 和.gov 等顶级域,以及部分国家和地区顶级域(ccTLD)。