Bescherm je domein met security.txt – een kleine moeite, groot verschil

Geplaatst op 22-04-2025 - gewijzigd op 22-04-2025

Stel je voor: een beveiligingsonderzoeker ontdekt een kwetsbaarheid op jouw website, maar kan je niet bereiken. Geen telefoonnummer, geen e-mailadres, geen contactformulier. Kans gemist. Of erger nog: iemand met minder goede bedoelingen vindt diezelfde zwakke plek en maakt er misbruik van.

Gelukkig is er een simpele oplossing om dat te voorkomen:
security.txt. Dit tekstbestand helpt beveiligingsonderzoekers en andere partijen om snel en verantwoord contact met je op te nemen over kwetsbaarheden op jouw domein. Het is een klein, eenvoudig bestand – maar het kan een groot verschil maken.

Wat is security.txt?

Security.txt is een standaardformaat waarin je contactinformatie zet voor beveiligingsmeldingen. Denk aan een e-mailadres, een pgp-sleutel en eventueel een beleid (bijvoorbeeld een link naar je responsible disclosure-beleid). Je plaatst dit bestand op een vaste plek op je website, namelijk:
https:///.well-known/security.txt

Zo kunnen mensen die een kwetsbaarheid vinden je eenvoudig bereiken, zonder dat ze hoeven te zoeken naar contactinformatie.

Waarom zou je het gebruiken?

  • Je maakt het makkelijker voor beveiligingsonderzoekers om je te helpen.
  • Je voorkomt dat kwetsbaarheden onopgemerkt blijven.
  • Je laat zien dat je security serieus neemt.
  • Je voldoet aan steeds vaker voorkomende verwachtingen vanuit standaarden en overheden – zo wordt het gebruik van security.txt ook meegenomen in de testen van Internet.nl.

Kortom: je verlaagt de drempel voor verantwoorde disclosure en verhoogt het vertrouwen in jouw domein of organisatie.

Zelf aan de slag

Goed nieuws: het is supersimpel om security.txt zelf te implementeren. De Nederlandse overheid (Digital Trust Center) heeft een handige handleiding gepubliceerd: Digital Trust Center. In een paar stappen heb je het geregeld:

  1. Bepaal het contactadres:
    Kies wie de meldingen ontvangt – jijzelf of je IT-dienstverlener.
  2. Genereer het bestand:
    Gebruik de tool op securitytxt.org om je security.txt-bestand aan te maken.
  3. Plaats het bestand:
    Maak op je webserver de map .well-known aan en plaats het bestand daarin. Het pad wordt dan https://jouwdomein.nl/.well-known/security.txt.
  4. Test de implementatie:
    Controleer via internet.nl of het bestand correct is geplaatst.​

Voor meer informatie en een gedetailleerde handleiding kun je terecht op de website van het Digital Trust Center: digitaltrustcenter.nl

Conclusie

Met security.txt maak je het eenvoudig voor beveiligingsonderzoekers om je te helpen je website veiliger te maken. Een kleine stap met een groot effect op je digitale veiligheid.​

Heb je hulp nodig bij de implementatie? Ons team staat klaar om je te ondersteunen.