Das DNS Security Extensions Protokoll (DNSSEC) soll Serveranfragen im Internet sicherer machen: mit DNSSEC ist es möglich, dass die Authentizität einer Antwort eines Nameservers im Internet durch den Abgleich eines Schlüsselpaares  überprüft werden kann. Damit sollen nicht-autoritative Antworten vermieden werden.  DNSSEC benutzt ein asymmetrisches Kryptosystem. Der Master-Server einer Zone signiert jeden einzelnen Record mit einem geheimen Schlüssel (private Key). Die DNS-Clients können diese Signatur mit einem öffentlichen Schlüssel  (Public Key) validieren.  Um Inkompatibilitäten vorzubeugen wurden neue Resource Record Typen eingeführt: RRSIG (anstatt SIG), DNSKEY (anstatt KEY), NSEC (anstatt NXT).  DNSSEC soll Angriffe aus dem Internet, z. B. durch Cache Poisoning abwehren. Bei einem Cache Poisoning Angriff bringt der Angreifer in den Cache eines Nameservers gefälschte Daten ein.