Een DNS zonder DNSSEC is in theorie te beïnvloeden via zogeheten cache poisoning of man-in-the-middle aanvallen. Door DNSSEC te activeren verzeker je jezelf ervan dat dit ieder geval niet met jouw domein kan gebeuren.
Deze uitbreiding op het DNS-protocol maakt het gebruik van de DNS/domeinnamen dus een stuk veiliger.
Om dit soort type aanvallen te voorkomen, koppelt DNSSEC het antwoord op een DNS vraag aan een digitale handtekening. Hierdoor is te controleren of de informatie die een DNS-server stuurt wel van de juiste DNS server afkomstig zijn. Om dit te voor elkaar te krijgen worden de DNS servers voorzien van een systeem voor asymmetrische cryptografie die we ook wel public-key cryptography noemen. De DNS-informatie wordt ondertekend met een private key zoals dit ook het geval is bij het beveiligen van een website met een certificaat. Hierdoor kunnen gebruikers met een public key nagaan of de verstuurde informatie klopt en er geen problemen zijn met deze informatie.
Klik hier voor uitleg over het activeren van DNSSEC