Bescherm je domein met security.txt – een kleine moeite, groot verschil
Geplaatst op 22-04-2025 - gewijzigd op 22-04-2025Stel je voor: een beveiligingsonderzoeker ontdekt een kwetsbaarheid op jouw website, maar kan je niet bereiken. Geen telefoonnummer, geen e-mailadres, geen contactformulier. Kans gemist. Of erger nog: iemand met minder goede bedoelingen vindt diezelfde zwakke plek en maakt er misbruik van.
Gelukkig is er een simpele oplossing om dat te voorkomen: security.txt. Dit tekstbestand helpt beveiligingsonderzoekers en andere partijen om snel en verantwoord contact met je op te nemen over kwetsbaarheden op jouw domein. Het is een klein, eenvoudig bestand – maar het kan een groot verschil maken.
Wat is security.txt?
Security.txt is een standaardformaat waarin je contactinformatie zet voor beveiligingsmeldingen. Denk aan een e-mailadres, een pgp-sleutel en eventueel een beleid (bijvoorbeeld een link naar je responsible disclosure-beleid). Je plaatst dit bestand op een vaste plek op je website, namelijk:
https://
Zo kunnen mensen die een kwetsbaarheid vinden je eenvoudig bereiken, zonder dat ze hoeven te zoeken naar contactinformatie.
Waarom zou je het gebruiken?
- Je maakt het makkelijker voor beveiligingsonderzoekers om je te helpen.
- Je voorkomt dat kwetsbaarheden onopgemerkt blijven.
- Je laat zien dat je security serieus neemt.
- Je voldoet aan steeds vaker voorkomende verwachtingen vanuit standaarden en overheden – zo wordt het gebruik van security.txt ook meegenomen in de testen van Internet.nl.
Kortom: je verlaagt de drempel voor verantwoorde disclosure en verhoogt het vertrouwen in jouw domein of organisatie.
Zelf aan de slag
Goed nieuws: het is supersimpel om security.txt zelf te implementeren. De Nederlandse overheid (Digital Trust Center) heeft een handige handleiding gepubliceerd: Digital Trust Center. In een paar stappen heb je het geregeld:
- Bepaal het contactadres:
Kies wie de meldingen ontvangt – jijzelf of je IT-dienstverlener. - Genereer het bestand:
Gebruik de tool op securitytxt.org om je security.txt-bestand aan te maken. - Plaats het bestand:
Maak op je webserver de map .well-known aan en plaats het bestand daarin. Het pad wordt dan https://jouwdomein.nl/.well-known/security.txt. - Test de implementatie:
Controleer via internet.nl of het bestand correct is geplaatst.
Voor meer informatie en een gedetailleerde handleiding kun je terecht op de website van het Digital Trust Center: digitaltrustcenter.nl
Conclusie
Met security.txt maak je het eenvoudig voor beveiligingsonderzoekers om je te helpen je website veiliger te maken. Een kleine stap met een groot effect op je digitale veiligheid.
Heb je hulp nodig bij de implementatie? Ons team staat klaar om je te ondersteunen.