_ _ _ _____ ___ __ __ _(_) | _(_)___ / ( _ ) / /_ ___ ___ _ __ ___ \ \ /\ / / | |/ / | |_ \ / _ \| '_ \ / __/ _ \| '_ ` _ \ \ V V /| | <| |___) | (_) | (_) | (_| (_) | | | | | | \_/\_/ |_|_|\_\_|____/ \___/ \___(_)___\___/|_| |_| |_|
Security.txt is een gestandaardiseerd txt-bestand dat dient om beveiligingsinformatie bij de juiste persoon te krijgen. Het is vergelijkbaar met een briefje aan de voordeur van een huis, waarop mensen kunnen zien hoe ze contact kunnen opnemen met de eigenaar in geval van verdachte activiteiten.[1][2] Met security.txt kunnen websitebeheerders open en transparant zijn over hun beveiligingspraktijken en de contactgegevens delen van de persoon die verantwoordelijk is voor beveiligingskwesties, zodat security-onderzoekers, ethische hackers en notificatiedienstverleners etc. direct een melding bij het juiste kanaal kunnen maken.
De standaard schrijft een tekstbestand voor met de naam "security.txt" op de well-known-locatie, qua syntaxis vergelijkbaar met robots.txt maar bedoeld om door machines en mensen te worden gelezen, voor diegenen die contact willen opnemen met de eigenaar van een website over beveiligingsproblemen.[3] Security.txt-bestanden zijn overgenomen door Google, GitHub, LinkedIn en Facebook.[4]
Security.txt werd voor het eerst voorgesteld door Ed Foudil, een beveiligingsonderzoeker, in 2017. Hij merkte op dat er geen gestandaardiseerde manier was voor websitebeheerders om informatie over hun beveiligingspraktijken te delen. Dit maakte het moeilijk voor beveiligingsonderzoekers om verantwoordelijke partijen te bereiken en beveiligingslekken te melden.[1]
Om dit probleem aan te pakken, stelde Foudil het idee voor van een gestandaardiseerd tekstbestand genaamd security.txt. Dit bestand zou specifieke velden bevatten waarin websitebeheerders contactgegevens en andere relevante informatie voor beveiligingskwesties konden vermelden. Op deze manier zouden beveiligingsonderzoekers gemakkelijk de juiste personen kunnen bereiken en problemen kunnen rapporteren.
Op dat moment omvatte het vier richtlijnen, "Contact", "Encryptie", "Openbaarmaking" en "Bevestiging". Foudil verwachtte op basis van feedback nog meer richtlijnen toe te voegen.[2] Bovendien zei webbeveiligingsexpert Scott Helme dat hij positieve feedback van de beveiligingsgemeenschap had gezien, terwijl het gebruik onder de top 1 miljoen websites "zo laag was als verwacht op dit moment".[1]
Het voorstel van security.txt kreeg al snel steun vanuit de beveiligingsgemeenschap en ontwikkelde zich tot een open standaard. In 2019 werd het formeel aangenomen als RFC 9116 door de Internet Engineering Task Force (IETF),[5] een organisatie die verantwoordelijk is voor het ontwikkelen en beheren van internetstandaarden.
Het aannemen van security.txt als RFC benadrukt de bredere acceptatie en erkenning van de standaard binnen de technische gemeenschap. Het biedt een duidelijk kader en richtlijnen voor de implementatie en het gebruik ervan.
Security.txt heeft geleidelijk aan brede acceptatie gekregen bij websitebeheerders, beveiligingsonderzoekers en organisaties. Het wordt nu beschouwd als een nuttige en effectieve manier om de communicatie tussen website-eigenaren en beveiligingsonderzoekers te vergemakkelijken[6].
Organisaties zoals Google, GitHub en verschillende overheidsinstanties hebben security.txt geïmplementeerd op hun websites. Dit heeft bijgedragen aan de bekendheid en de acceptatie van de standaard in de bredere internetgemeenschap. Het Digital Trust Center en het Nationaal Cyber Security Centrum moedigen het gebruik hiervan aan.[7]
Stichting Internet Domeinregistratie Nederland (SIDN) houdt bij hoeveel Nederlandse domeinnamen zijn voorzien van een security.txt-bestand.
Security.txt-bestanden kunnen worden aangeboden onder de map /.well-known/
(i.e. /.well-known/security.txt
) of de directory op het hoogste niveau (i.e. /security.txt
) van een website. Het bestand moet worden aangeboden via HTTPS en in platte tekst.[8]
Een typisch security.txt-bestand bevat verschillende secties met relevante informatie. Enkele van de meest voorkomende onderdelen zijn:
Om security.txt te implementeren, moeten websitebeheerders een tekstbestand met de naam "security.txt" toevoegen aan de /.well-known folder van hun website. Dit bestand moet toegankelijk zijn via een specifieke URL: https://www.example.com/.well-known/security.txt. Het /.well-known pad is gestandaardiseerd en wordt gebruikt om algemene informatie over de website te verstrekken.
Het Digital Trust Center biedt een stappenplan voor het implementeren van security.txt. Ook aan IT-dienstverleners zoals managed service providers en hostingbedrijven die voor hun klanten security.txt in bulk willen doorvoeren, is gedacht. Voor IT-dienstverleners zijn handige tips en tools gebundeld in security.txt voor IT-dienstverleners.
Via internet.nl kun je zelf controleren of je website op de juiste manier security.txt heeft geconfigureerd.
Per 25 mei 2023 is security.txt toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen. Voor alle andere organisaties in de publieke sector geldt een dringend advies om security.txt toe te passen.
security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is. Dit is opgenomen in de 'Pas toe leg uit' standaarden.
Het gebruik van security.txt biedt verschillende voordelen:
Security.txt blijft zich ontwikkelen en evolueren naarmate de behoeften en uitdagingen op het gebied van websitebeveiliging veranderen. Er wordt voortdurend gewerkt aan het verbeteren van de specificatie en het verkennen van nieuwe functionaliteiten.
Daarnaast zijn er discussies gaande over de mogelijke integratie van security.txt in beveiligingsgerelateerde standaarden en tools, zoals bug bounty-platforms en vulnerability disclosure guidelines.
Stichting Internet Domeinregistratie Nederland (SIDN) geeft aan dat het van plan is om vanaf de eerste helft van volgend jaar (2025) de toepassing van security.txt toe te voegen aan de Registrar Scorecard (RSC). Dat betekent dat er straks een financiële korting wordt gegeven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt. Met deze incentive-regeling ondersteunt de SIDN de adoptie van security.txt.[9]
In oktober 2022 deden het Digital Trust Center (onderdeel van het ministerie van Economische Zaken en Klimaat) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 100.000.[10]