_ _ _ _____ ___ __ __ _(_) | _(_)___ / ( _ ) / /_ ___ ___ _ __ ___ \ \ /\ / / | |/ / | |_ \ / _ \| '_ \ / __/ _ \| '_ ` _ \ \ V V /| | <| |___) | (_) | (_) | (_| (_) | | | | | | \_/\_/ |_|_|\_\_|____/ \___/ \___(_)___\___/|_| |_| |_|
security.txt ist ein mit RFC 9116[1] definierter Request for Comments (RFC), der die Weitergabe sicherheitsrelevanter Informationen betreffend einer Website an dessen Betreiber vereinfachen soll. Dies erfolgt über die Standardisierung der Angabe von relevanten Kontaktinformationen.[2][3] Es handelt sich bei diesem RFC nicht um einen Internetstandard, der den Standardisierungsprozess der Internet Engineering Task Force (IETF) durchlaufen hat. Vielmehr wird er der Kategorie „Informational“ zugeordnet.
Mit dem Request for Comments, der im April 2022 von der IETF veröffentlicht wurde,[1] wird eine Datei namens „security.txt“ definiert, die (ähnlich der „robots.txt“) an einem standardisierten Ort hinterlegt wird und von Menschen wie Maschinen lesbar sein soll. Dadurch soll die Kontaktaufnahme mit dem Websitebetreiber im Fall ermittelter sicherheitsrelevanter Probleme vereinfacht werden.[4]
security.txt-Dateien wurden beispielsweise bereits von Google, GitHub, LinkedIn und Facebook implementiert.[5]
security.txt-Dateien werden im Verzeichnis /.well-known/
(d. h. /.well-known/security.txt
) oder im Stammverzeichnis (d. h. /security.txt
) einer Website hinterlegt. Die Datei muss über HTTPS als Textdatei hinterlegt werden.
Die Direktiven „Contact“ und „Expires“ sind verpflichtende minimale Angaben in einer security.txt-Datei. Zusätzlich können noch die Direktiven „Encryption“, „Acknowledgements“, „Preferred-Languages“, „Canonical“, „Policy“ und „Hiring“ hinzugefügt werden.