DNSSEC - це криптографічне розширення безпеки для протоколу DNS, яке захищає передачу DNS-інформації. Система DNS перетворює доменні імена в IP-адреси (і навпаки). В DNSSEC до інформації (записів) DNS до відповіді додають цифровий підпис, щоб клієнт міг перевірити їх достовірність. Фактично застосування протоколу DNSSEC дозволяє підписувати адресну інформацію цифровим підписом. Використання DNSSEC дозволяє уникнути ключових вразливостей в системі DNS і знизити ризик так званої "підміни адреси" (див. DNS отруєння кешу)
DNSSEC - це ефективний метод підвищення безпеки під час використання DNS. За допомогою DNSSEC користувачі Інтернет мають можливість перевірити, чи є інформація, яку вони отримали через DNS, правдива чи підроблена, і таким чином впевнитися, що веб-сайт дійсно належить банку, офісу, електронному реєстру, державному органу тощо.
"Ланцюжок довіри" - це послідовність посилань безпеки, встановлених за допомогою DNSSEC між різними рівнями ієрархії DNS. Коли DNS-сервер відправляє адресну інформацію клієнту, він прикріплює цифровий підпис (в записі RRSIG). Достовірність запису може бути перевірена з використанням відкритого ключа відповідного домену, який міститься в записі DNSKEY. Це робиться шляхом звернення до наступного (вищого) рівня в ієрархії DNS, де регистрант домену зберігає відкритий ключ, створюючи тим самим зв'язок довіри між двома рівнями.
