DNSSEC是“Domain Name System Security Extensions”的缩写，代表域名系统安全扩展，允许域名所有者对DNS记录进行数字签名，签名DNS记录的私有签名密钥通常仅由合法域名所有者持有，因此可防止未经授权的第三方修改DNS条目。

DNSSEC诞生于1997年，已经列入互联网标准化文档（参考RFC 4033、RFC 4034、RFC 4035），是最早大规模部署的DNS安全协议，所有的根域名服务器都已经部署了DNSSEC。

虽然DNSSEC已经诞生20年，但APNIC统计其采用率几乎不到19.3％，ICANN敦促业界普及使用DNSSEC协议。不过，DNSSEC协议仅提供真实性和完整性的校验，无法确保DNS流量通信的机密性。

https://blog.cloudflare.com/dnssec-an-introduction/
https://yq.aliyun.com/articles/693098 - 4种DNS安全协议对比：DNSSEC，DNSCrypt，DNS over TLS，DNS over HTTPS