GSS-TSIG (Общий алгоритм службы безопасности для транзакции с секретным ключом) является расширением TSIG DNS протокола аутентификации для безопасного ключа обмен. Это алгоритм GSS-API, который использует Kerberos для передачи токенов безопасности, чтобы обеспечить аутентификацию, целостность и конфиденциальность.
GSS-TSIG (RFC 3645 ) использует механизм, подобный SPNEGO с Kerberos или NTLM. В Windows эта реализация называется безопасным динамическим обновлением.
GSS-TSIG использует записи TKEY для обмена ключами между DNS-клиентом и сервером в режиме GSS-TSIG. Для аутентификации между клиентом DNS и Active Directory, обмены AS-REQ, AS-REP, TGS-REQ, TGS-REP должны иметь место для предоставления билета и установления контекста безопасности. Контекст безопасности имеет ограниченный срок жизни, в течение которого могут происходить динамические обновления DNS-сервера.