Die security.txt ist eine Datei mit Kontaktinformationen
Mittels der security.txt können Sie Informationen hinterlegen, wer, im Falle einer gefundenen Sicherheitslücke, zu kontaktieren ist.Das Dateiformat wurde in der RFC 9116 festgelegt und ist seit April 2022 standardisiert.
Implementieren auf der Webseite
Das Ganze besteht aus einer einfachen Textdatei, die entweder im Root-Verzeichnis des Webservers oder im Verzeichnis.well-known
abgelegt wird. Beispiele
https://www.example.com/security.txt
https://www.example.com/.well-known/security.txt
Die Datei kann mit PGP signiert werden.
Der öffentliche PGP-Schlüssel sollte mit angegeben werden, damit eine verschlüsselte Kommunikation möglich ist.
Erstellen einer security.txt
Entweder man erstellt die Datei einfach mit einem Texteditor oder man nutzt ein Tool wie die Seite securitytxt.org.Die einzelnen Felder
- Contact (erforderlich)
- Ein Link oder eine E-Mail-Adresse, über die Personen Sie bei Sicherheitsproblemen kontaktieren können.
- Expires (erforderlich)
- ISO 8601 Format.
Das Datum und die Uhrzeit, wann der Inhalt der Datei security.txt als veraltet angesehen werden sollte. - Encryption
- Ein Link zu einem Schlüssel, den Sicherheitsforscher verwenden sollten, um sicher mit Ihnen zu kommunizieren.
- Acknowledgments
- Ein Link zu einer Webseite, auf der Sie sich bei Sicherheitsforschern bedanken, die Ihnen geholfen haben.
Beispiele - Preferred-Languages
- Eine durch Kommas getrennte Liste von Sprachcodes, die Ihr Sicherheitsteam spricht.
- Canonical
- Die URLs für den Zugriff auf Ihre Datei security.txt.
- Policy
- Ein Link zu einer Richtlinie, die beschreibt, was Sicherheitsforscher tun sollten, wenn sie nach Sicherheitsproblemen suchen oder diese melden.
- Hiring
- Ein Link zu allen Stellenangeboten in Ihrer Organisation, die für IT-Sicherheit zuständig sind (das ist kein Scherz).
Beispiel
Die security.txt dieser Website hier, sieht wie folgt aus:Contact: mailto:post@thorsten-willert.de
Expires: 2023-12-31T22:59:00.000Z
Encryption: https://www.thorsten-willert.de/Thorsten Willert thorsten.willert@gmx.de-(0x36A256FBFBEC84FC)-public.asc
Preferred-Languages: de,en
Canonical: https://www.thorsten-willert.de/security.txt
Zusammenfassung
Die Datei sollte auf jeden Fall per HTTPS ausgeliefert werden.
Eine security.txt ist sehr einfach zu implementieren und bietet eine einfache Kontaktmöglichkeit im Falle einer Sicherheitslücke.
Checkliste
- Contact ist vorhanden.
- Expires ist vorhanden.
- Die Datei liegt unter
/.well-known/
oder imroot
Verzeichnis. - Die Datei wird über https übertragen
- Der Mime-Type für die Datei ist
text/plain