域名系统安全扩展 (DNSSEC)

域名系统安全扩展 (DNSSEC) 是一套规范，概述了用于保护域名系统 (DNS) 在使用互联网协议 (IP) 的网络上提供的某些信息的详细信息。DNS SEC 是 DNS 的一组扩展，可为 DNS 客户端提供所有 DNS 数据的原始身份验证、数据完整性和身份验证拒绝存在。它不提供机密性或可用性。这些标准由 Internet 工程任务组 (IETF) 创建。

域名系统通过将域名与其各自的 IP 地址相关联来管理 Internet 导航。它无法判断信息是否真的来自真正的域所有者，这使得它容易受到一些攻击，例如 DNS 缓存中毒。在这次攻击中，攻击者将 DNS 缓存中的正确 IP 地址替换为不同的 IP 地址，旨在引导用户访问带有病毒、蠕虫或广告软件的网站。

DNSSEC 使用数字签名和加密密钥来确保查找表数据完好无损并且它们指向合法服务器。此扩展的实施是自愿的并且非常复杂，这导致采用速度缓慢。它作为托管服务提供，一些供应商为其销售自动化工具。美国政府等重要实体已要求其所有机构实施 DNSSEC。