Con Domain Name System Security Extensions (DNSSEC) si indicano diversi standard di rete, che aggiungono al Domain Name System un’autentificazione della sorgente, garantendo così l’autenticità e l’integrità dei dati. Dopo che la versione originaria del DNSSEC del 1999 risultò inadatta per le reti di grandi dimensioni, ci sono voluti solo pochi anni, prima che le estensioni per la sicurezza del DNS venissero infine rilasciate nel 2005 nei tre RFC (Requests for Comments), cioè RFC 4033, RFC 4034 e RFC 4035, e diventassero quindi degli standard. Nel 2010 si è cominciato ad utilizzare questa tecnica anche per il livello di root, cioè sui 13 root name server responsabili per la risoluzione dei Top Level Domain.
DNSSEC si basa su un criptosistema a chiave pubblica, un procedimento di crittografia asimmetrica, in cui le parti coinvolte non si scambiano alcuna chiave segreta comune, ricorrendo invece ad una coppia di chiavi, composta da una chiava pubblica (Public key) e da una privata (Private key). Tramite le chiavi private, tutte le informazioni DNS, chiamate Resource Records, vengono dotate di una firma digitale. Grazie alla chiave pubblica, invece, i client verificano la firma e confermano così l’autenticità della sorgente dati.