Die Abkürzung DNSSEC steht für „Domain Name System Security Extensions“. Es handelt sich um mehrere Internetstandards, die das DNS um Sicherheitsmechanismen zur Quellenauthentifizierung erweitern.
Das DNS-Protokoll, das für die Auflösung von Domainnamen auf IP-Adressen zuständig ist, verfügt nämlich selbst über keine Mechanismen, um die übermittelten Daten gegen Manipulation auf dem Übertragungswege oder in den durchlaufenden Systemen (z.B. Server oder Cache) zu schützen. Eine Verfälschung der Daten kann daher weder identifiziert noch vermieden werden. Diese Lücke sollen die Domain Name System Security Extensions schließen.
Bei Verwendung von DNSSEC kommt die öffentliche Schlüsselkryptografie zum digitalen Signieren der Daten zum Einsatz. Es wird ein Schlüsselpaar (privater und öffentlicher Schlüssel) generiert. Der private Teil ist geheim und nur dem Besitzer bekannt. Der öffentliche Teil wird im DNS publiziert und mit ihm kann eine Unterschrift, die mit dem privaten Schlüssel signiert wurde, überprüft und validiert werden.