Domeno vardų sistemos (DNS) saugos plėtiniai (DNSSEC) yra priemonė apsaugoti internetą ir jo vartotojus nuo galimų atakų, kurios gali išjungti arba trukdyti pasiekti pagrindines vardų suteikimo paslaugas internete. Saugos plėtiniai sukuria būdą DNS serveriams ir toliau teikti savo interneto protokolo (IP) adresų vertimo funkcijas, tačiau su papildoma nuostata, kad DNS serveriai autentifikuojasi vienas su kitu sukurdami patikimų ryšių seriją. Naudojant plėtinius, DNS serverių dalijami duomenys taip pat pasiekia tokį vientisumo lygį, kurį paprastai sunku palyginti su esamu protokolu, kuriuo duomenys perduodami.
Iš pradžių DNS buvo sukurtas kaip neapsaugotas, viešas vardų ir su jais susijusių IP adresų platinimas. Tačiau augant internetui iškilo nemažai problemų, susijusių su DNS saugumu, privatumu ir DNS duomenų vientisumu. Kalbant apie privatumo problemas, problema buvo išspręsta anksti tinkamai sukonfigūravus DNS serverius. Vis dėlto DNS serveris gali būti paveiktas įvairių tipų atakų, tokių kaip paskirstytos paslaugos atsisakymo (DDoS) ir buferio perpildymo atakos, kurios gali paveikti bet kokio tipo serverį. Tačiau DNS būdinga problema, kad kai kurie išoriniai šaltiniai apnuodija duomenis pateikdami klaidingą informaciją.
DNSSEC sukūrė interneto inžinerijos darbo grupė (IETF) ir išsamiai aprašyta keliuose prašymų pateikti komentarus (RFC) dokumentuose, 4033–4035. Šiuose dokumentuose DNS saugumas apibūdinamas kaip pasiekiamas naudojant viešojo rakto autentifikavimo metodus. Siekiant palengvinti apdorojimą DNS serveriuose, naudojami tik autentifikavimo metodai, o ne šifravimas.
DNSSEC veikia sukuriant pasitikėjimo ryšius tarp skirtingų DNS hierarchijos pakopų. Aukščiausiame lygyje DNS šakninis domenas yra nustatytas kaip pagrindinis tarpininkas tarp žemesnių domenų, tokių kaip .com, .org ir kt. Tada subdomenai žiūri į šakninį domeną, kuris veikia kaip patikima trečioji šalis, kad patvirtintų kitų patikimumą, kad jie galėtų tarpusavyje dalytis tiksliais DNS duomenimis.
Viena problema, kuri iškyla dėl RFC aprašytų metodų, vadinama zonų surašymu. Išorinis šaltinis gali sužinoti kiekvieno tinkle esančio kompiuterio tapatybę. Kai kurie ginčai kilo dėl DNS saugumo ir zonų surašymo problemos dėl to, kad nors DNS iš pradžių nebuvo sukurta privatumui, įvairūs teisiniai ir vyriausybės įsipareigojimai reikalauja, kad duomenys liktų privatūs. Papildomas protokolas, aprašytas RFC 5155, apibūdina papildomus išteklių įrašų diegimo į DNS priemones, kurios gali palengvinti problemą, tačiau jos visiškai nepašalinti.
Kitos problemos, susijusios su DNS saugumo diegimu, yra susijusios su suderinamumu su senesnėmis sistemomis. Įdiegti protokolai turi būti universalūs, todėl suprantami visiems kompiuteriams, serveriams ir klientams, kurie naudojasi internetu. Kadangi DNSSEC yra įdiegtas naudojant DNS programinės įrangos plėtinius, iškilo tam tikrų sunkumų tinkamai atnaujinant senesnes sistemas, kad būtų palaikomi nauji metodai. Vis dėlto DNSSEC metodai buvo pradėti diegti šakniniu lygiu 2009 m. pabaigoje ir 2010 m. pradžioje, o daugelis šiuolaikinių kompiuterių operacinių sistemų yra aprūpintos DNS saugos plėtiniais.