Varnostne razširitve sistema imen domen (DNS) (DNSSEC) so sredstvo za zaščito interneta in njegovih uporabnikov pred možnimi napadi, ki lahko onemogočijo ali ovirajo dostop do osnovnih storitev poimenovanja na internetu. Varnostne razširitve ustvarjajo način, da strežniki DNS še naprej zagotavljajo svoje funkcije prevajanja naslovov internetnega protokola (IP), vendar z dodano določbo, da se strežniki DNS med seboj preverjajo z ustvarjanjem niza odnosov zaupanja. S pomočjo razširitev se podatki, ki si delijo strežniki DNS, prav tako dosežejo raven celovitosti, ki jo je običajno težko prenesti na obstoječi protokol, po katerem se podatki prenašajo.
Prvotno je bil DNS ustvarjen kot nezavarovana javna distribucija imen in z njimi povezanih naslovov IP. Z rastjo interneta pa so se pojavile številne težave, povezane z varnostjo, zasebnostjo in celovitostjo podatkov DNS. V zvezi z vprašanji zasebnosti je bila težava že zgodaj rešena s pravilno konfiguracijo strežnikov DNS. Kljub temu je možno, da je strežnik DNS izpostavljen številnim različnim vrstam napadov, kot so porazdeljena zavrnitev storitve (DDoS) in napadi prekoračitve medpomnilnika, ki lahko vplivajo na katero koli vrsto strežnika. Za DNS pa je značilno, da zunanji vir zastruplja podatke z uvedbo napačnih informacij.
DNSSEC je razvila delovna skupina za internetno inženirstvo (IETF), podrobno pa je opisan v več dokumentih z zahtevo za komentarje (RFC), od 4033 do 4035. Ti dokumenti opisujejo varnost DNS kot dosegljivo z uporabo tehnik avtentikacije z javnim ključem. Za olajšanje obdelave na strežnikih DNS se uporabljajo samo tehnike preverjanja pristnosti in ne šifriranja.
Način delovanja DNSSEC je ustvarjanje odnosov zaupanja med različnimi ravnmi hierarhije DNS. Na najvišji ravni je korenska domena DNS vzpostavljena kot primarni posrednik med spodnjimi domenami, kot so .com, .org in tako naprej. Poddomene se nato obrnejo na korensko domeno, ki deluje kot tako imenovana zaupanja vredna tretja oseba, da potrdi verodostojnost drugih, da si lahko med seboj delijo točne podatke DNS.
Ena težava, ki se pojavi kot posledica metod, opisanih v RFC-jih, se imenuje oštevilčenje con. Zunanji vir se lahko nauči identitete vsakega imenovanega računalnika v omrežju. Nekaj polemik se je razvilo z varnostjo DNS in težavo s štetjem con zaradi dejstva, da čeprav DNS prvotno ni bil zasnovan za zasebnost, različne pravne in vladne obveznosti zahtevajo, da podatki ostanejo zasebni. Dodatni protokol, opisan v RFC 5155, opisuje način za implementacijo dodatnih zapisov virov v DNS, ki lahko ublažijo težavo, čeprav je ne odstranijo v celoti.
Druge težave pri izvajanju varnosti DNS se vrtijo okoli združljivosti s starejšimi sistemi. Izvedeni protokoli morajo biti univerzalni in zato razumljivi vsem računalnikom, strežnikom in odjemalcem, ki uporabljajo internet. Ker se DNSSEC izvaja z razširitvami programske opreme za DNS, so se pojavile nekatere težave pri pravilnem posodabljanju starejših sistemov, da bi podprli nove metode. Kljub temu se je uvajanje metod DNSSEC začelo na korenski ravni konec leta 2009 in v začetku leta 2010, številni sodobni računalniški operacijski sistemi pa so opremljeni z varnostnimi razširitvami DNS.