DNSSEC steht für „Domain Name System Security Extensions“ und ist eine Erweiterung vom DNS. Der Standard ist in mehreren RFCs festgelegt (u.a. RFCs 4033, 4034, 4035, 5155).

DNSSEC ermöglicht es dem Empfänger einer DNS-Response sicherzustellen, dass die angefragten Informationen unverfälscht und authentisch bei ihm ankommen. Der Vorgang, die Daten aus dem DNS zu signieren und zu prüfen, findet auf Basis der PKI (Public Key Infrastructure) statt. Allerdings basiert die PKI bei DNSSEC nicht auf den klassischen CAs (Certification Authorities), sondern wird anhand des DNS hierarchisch signiert.