DNSSEC (Domain Name System Security Extensions) erweitert DNS um kryptographische Signaturen, die sicherstellen, dass DNS-Antworten authentisch und unverändert sind. Jede DNS-Zone signiert ihre Einträge mit einem privaten Schlüssel; Resolver prüfen die Signatur gegen den öffentlichen Schlüssel.
DNSSEC schützt vor Cache Poisoning und Man-in-the-Middle-Angriffen auf DNS-Ebene. Du kannst Dich darauf verlassen, dass die aufgelöste IP-Adresse tatsächlich vom Domaininhaber stammt. DNSSEC verschlüsselt die Daten selbst allerdings nicht — dafür braucht es DNS-over-HTTPS oder DNS-over-TLS. Die Einrichtung erfordert sorgfältiges Key-Management, da abgelaufene Schlüssel zu DNS-Ausfällen führen können.