DNSSEC (Domain Name System Security Extensions)

DNSSEC sind kryptografische Erweiterungen des DNS-Protokolls, die DNS-Antworten digital signieren und so DNS-Spoofing- und Cache-Poisoning-Angriffe verhindern; ein DNSSEC-validierender Resolver kann sicherstellen, dass die erhaltene IP-Adresse tatsächlich vom autoritativen Nameserver stammt. Das BSI empfiehlt in seinen Mindeststandards die Aktivierung von DNSSEC für alle behördlichen Domains; DENIC unterstützt DNSSEC für .de-Domains vollständig. In IT-Ausschreibungen für DNS-Dienste, Domain-Hosting und Internet-Anbindung sind DNSSEC-Signierung und -Validierung als Pflichtanforderungen zu spezifizieren.