Een security.txt-bestand is een tekstbestand met informatie over hoe ethische hackers of onderzoekers die een beveilingslek ontdekken op je website met je in contact kunnen komen. Dit bestand kun je eenvoudig generen en op je website plaatsen. Door dit bestand komt een veiligheidsmelding meteen op de juiste plek terecht.
Waarvoor dient het security.txt bestand?
Het security.txt-bestand is voor ethische hackers, onderzoekers en techneuten om makkelijk en snel beveiligingslekken te kunnen melden aan de eigenaren van websites. In dit bestand staan de contactgegevens van de beheerder van een website zodat informatie over een beveiligingslek meteen bij de juiste persoon terechtkomt. Het bestand heeft een standaard opmaak en kan gegenereerd worden door een systeem.
Voorbeeld van een security.txt bestand
Het bestand heeft verplichte en optionele onderdelen. De verplichte onderdelen in het bestand zijn een contacte-mailadres en de expiratiedatum van het bestand. De rest van de onderdelen zijn optioneel en hoef je niet te genereren in het bestand. Je kunt ze uiteraard wel allemaal gebruiken.
Hieronder vind je een voorbeeld van het security.txt-bestand van Hosting2GO:
# Please validate if you have the right security.txt file before using the information below.
# Most of our other websites will redirect to this central file, but some may have a similar file locally on the webserver.
# They should all have the same content. Canonical: https://www.hosting2go.nl/.well-known/security.txt
# You shouldn't trust this file, once it has expired (like bad milk).
# We are sometimes a bit forgetful, but we do have an annual re-occuring task to keep this file up-to-date. Expires: 2025-12-30T23:01:00.000Z
# Please always try to contact us through our responsible disclosure form to speed up things.
# Should that not be an option, then in order of preference the ways to contact us: Contact: https://www.hosting2go.nl/sales-abuse Contact: mailto:abuse@hosting2go.nl
# We can offer you a proper response in the following languages: Preferred-Languages: nl, en, de # If you think you'd like to join our team, please visit our job vacancy page: Hiring: https://www.hosting2go.nl/vacatures
Uitleg security.txt termen
In een security.txt-bestand worden een aantal vaste termen gebruikt, zodat deze voor iedere onderzoeker duidelijk zijn. De termen die je in een security.txt-bestand tegen kunt komen betekenen het volgende:
- Contact: dit is een contacte-mailadres of pagina waar je bijvoorbeeld een formulier in kan vullen waarmee onderzoekers contact op kunnen nemen om een lek te melden. Als je een contactformulier wil gebruiken hiervoor maak je zelf een pagina op je website waar dit contactformulier op staat.
- Expires: dit is een datum en tijdstip waarop het document vervalt. Hoe korter de datum is waarop het bestand vervalt hoe accurater het bestand is. Het is dus aan te raden om dit bestand regelmatig te controleren en updaten waar nodig.
- Acknowledgments: dit is een pagina waar je onderzoekers bedankt die beveiligingslekken aan je melden. Deze pagina zou je dan zelf moeten maken en toe moeten voegen aan je security.txt-bestand
- Preferred-Languages: hier geef je aan in welke talen de onderzoekers tegen je kunnen communiceren. Je mag hier meer dan een taal in opnemen, maar dat hoeft niet. Het is wel verstandig om hier in ieder geval Engels bij te zetten als je dat begrijpt.
- Canonical: hier geef je de locatie op waar je security.txt bestand staat. Dit is belangrijk als je meerdere domeinnamen of subdomeinen gebruikt. Je uploadt je security.txt bestand op je domein en de volledige link zet je hier neer.
- Policy: hier verwijs je naar je beleid voor het melden van beveiligingslekken dat onderzoekers kunnen lezen. Ook hiervoor maak je zelf een pagina aan op je website
- Hiring: hier kun je naar een ‘werken bij’-pagina verwijzen waar de vacatures staan die je open hebt staan. Dit is vooral interessant als je zelf op zoek bent naar een securityexpert.
Het maken van een security.txt-bestand
Je kan een security.txt-bestand genereren via de website securitytxt.org. Je vult via deze website de verplichte onderdelen in en daarnaast de onderdelen die je zelf wilt weergeven in de security.txt-bestand. Wat je er precies in vermeld, dat is geheel aan jou. Deze website maakt hier vervolgens een security.txt-bestand van.
Aan de hand van de volgende stappen kun je eenvoudig een security.txt-bestand genereren en online zetten:
- Bezoek de website securitytxt.org. Hiermee kan je het bestand genereren. De stappen die niet required zijn mag je open laten.
- Als je de vragen hebt beantwoord klik je op de groene knop ‘Generate security.txt file’. Onder stap 2 in het invoerveld komt dan je security.txt bestand te staan.
- Kopieer de tekst, plaats dit in een kladblok-bestand en sla het op onder de naam ‘security.txt’.
- Als laatste stap kan je het bestand uploaden naar je webhostingpakket. Dit kan je doen in de .well-known map in de Filemanager in het Control Panel. Het bestand is dan op te vragen via de link: https://www.jouwdomein.nl/.well-known/security.txt
Heeft dit je geholpen?
Bedankt voor het delen van je mening! Wat had je wél verwacht?
Heb je nog vragen?
Vraag het onze helpdesk