DNSSEC, abreviação de "Domain Name System Security Extensions", é um protocolo aprimorado projetado para garantir a autenticidade das informações fornecidas pelos servidores DNS. Ele utiliza criptografia de chave pública e assinaturas digitais para abordar vulnerabilidades de segurança no protocolo DNS tradicional. O DNS, desenvolvido em 1983, é um sistema que resolve nomes de domínio (nomes de host) em endereços IP, mas tem sido criticado por sua falta de mecanismos de segurança robustos. Uma vulnerabilidade significativa é sua suscetibilidade a ataques de envenenamento de cache DNS.
A infraestrutura de DNS consiste em dois tipos principais de servidores:
Se dados maliciosos ou incorretos forem armazenados no cache ('cache envenenado'), o servidor de cache DNS poderá fornecer aos clientes um endereço IP incorreto, redirecionando-os para sites fraudulentos. Essa exploração deliberada é conhecida como envenenamento de cache DNS. Isso ocorre porque a comunicação DNS entre servidores usa o protocolo UDP sem estado, que não possui verificação do remetente. Ao sincronizar habilmente pacotes de resposta falsificados para alinhá-los com solicitações legítimas, os invasores executam o envenenamento de cache.
O DNSSEC atenua isso introduzindo validação criptográfica. Servidores de conteúdo DNS autoritativos geram um par de chaves criptográficas: uma chave privada e uma chave de acesso público. Ao responder a uma consulta, o servidor usa sua chave privada para assinar a resposta DNS. O servidor de cache DNS, ao receber a resposta, valida a assinatura digital usando a chave pública. Esse processo garante a integridade e a autenticidade dos dados, prevenindo efetivamente ataques de envenenamento de cache DNS.