Thorsten H. Willert

Die Datei security.txt für Websites

Die security.txt ist eine Datei mit Kontaktinformationen

Mittels der security.txt können Sie Informationen hinterlegen, wer, im Falle einer gefundenen Sicherheitslücke, zu kontaktieren ist.

Das Dateiformat wurde in der RFC 9116 festgelegt und ist seit April 2022 standardisiert.

Implementieren auf der Webseite

Das Ganze besteht aus einer einfachen Textdatei, die entweder im Root-Verzeichnis des Webservers oder im Verzeichnis .well-known abgelegt wird.

Beispiele 

https://www.example.com/security.txt
https://www.example.com/.well-known/security.txt

Die Datei kann mit PGP signiert werden.
Der öffentliche PGP-Schlüssel sollte mit angegeben werden, damit eine verschlüsselte Kommunikation möglich ist.

Erstellen einer security.txt

Entweder man erstellt die Datei einfach mit einem Texteditor oder man nutzt ein Tool wie die Seite securitytxt.org.

Die einzelnen Felder

Contact (erforderlich)
Ein Link oder eine E-Mail-Adresse, über die Personen Sie bei Sicherheitsproblemen kontaktieren können.
Expires (erforderlich)
ISO 8601 Format.
Das Datum und die Uhrzeit, wann der Inhalt der Datei security.txt als veraltet angesehen werden sollte.
Encryption
Ein Link zu einem Schlüssel, den Sicherheitsforscher verwenden sollten, um sicher mit Ihnen zu kommunizieren.
Acknowledgments
Ein Link zu einer Webseite, auf der Sie sich bei Sicherheitsforschern bedanken, die Ihnen geholfen haben.
Beispiele
Preferred-Languages
Eine durch Kommas getrennte Liste von Sprachcodes, die Ihr Sicherheitsteam spricht.
Canonical
Die URLs für den Zugriff auf Ihre Datei security.txt.
Policy
Ein Link zu einer Richtlinie, die beschreibt, was Sicherheitsforscher tun sollten, wenn sie nach Sicherheitsproblemen suchen oder diese melden.
Hiring
Ein Link zu allen Stellenangeboten in Ihrer Organisation, die für IT-Sicherheit zuständig sind (das ist kein Scherz).

Beispiel

Die security.txt dieser Website hier, sieht wie folgt aus:

Contact: mailto:post@thorsten-willert.de
Expires: 2024-12-31T22:59:00.000Z
Encryption: https://www.thorsten-willert.de/Thorsten Willert thorsten.willert@gmx.de-(0x36A256FBFBEC84FC)-public.asc
Preferred-Languages: de,en
Canonical: https://www.thorsten-willert.de/security.txt

Zusammenfassung

Die Datei sollte auf jeden Fall per HTTPS ausgeliefert werden.

Eine security.txt ist sehr einfach zu implementieren und bietet eine einfache Kontaktmöglichkeit im Falle einer Sicherheitslücke.

Checkliste

  • Contact ist vorhanden.
  • Expires ist vorhanden.
  • Die Datei liegt unter /.well-known/ oder im root Verzeichnis.
  • Die Datei wird über https übertragen
  • Der Mime-Type für die Datei ist text/plain

Mehr zum Thema

Tools

Weiterführende Informationen

Details