Security.txt is een gestandaardiseerd txt-bestand dat dient om beveiligingsinformatie bij de juiste persoon te krijgen. Het is vergelijkbaar met een briefje aan de voordeur van een huis, waarop mensen kunnen zien hoe ze contact kunnen opnemen met de eigenaar in geval van verdachte activiteiten.[1][2] Met security.txt kunnen websitebeheerders open en transparant zijn over hun beveiligingspraktijken en de contactgegevens delen van de persoon die verantwoordelijk is voor beveiligingskwesties, zodat security-onderzoekers, ethische hackers en notificatiedienstverleners etc. direct een melding bij het juiste kanaal kunnen maken.

De standaard schrijft een tekstbestand voor met de naam "security.txt" op de well-known-locatie, qua syntaxis vergelijkbaar met robots.txt maar bedoeld om door machines en mensen te worden gelezen, voor diegenen die contact willen opnemen met de eigenaar van een website over beveiligingsproblemen.[3] Security.txt-bestanden zijn overgenomen door Google, GitHub, LinkedIn en Facebook.[4]

Geschiedenis en ontwikkeling

Security.txt werd voor het eerst voorgesteld door Ed Foudil, een beveiligingsonderzoeker, in 2017. Hij merkte op dat er geen gestandaardiseerde manier was voor websitebeheerders om informatie over hun beveiligingspraktijken te delen. Dit maakte het moeilijk voor beveiligingsonderzoekers om verantwoordelijke partijen te bereiken en beveiligingslekken te melden.[1]

Om dit probleem aan te pakken, stelde Foudil het idee voor van een gestandaardiseerd tekstbestand genaamd security.txt. Dit bestand zou specifieke velden bevatten waarin websitebeheerders contactgegevens en andere relevante informatie voor beveiligingskwesties konden vermelden. Op deze manier zouden beveiligingsonderzoekers gemakkelijk de juiste personen kunnen bereiken en problemen kunnen rapporteren.

Op dat moment omvatte het vier richtlijnen, "Contact", "Encryptie", "Openbaarmaking" en "Bevestiging". Foudil verwachtte op basis van feedback nog meer richtlijnen toe te voegen.[2] Bovendien zei webbeveiligingsexpert Scott Helme dat hij positieve feedback van de beveiligingsgemeenschap had gezien, terwijl het gebruik onder de top 1 miljoen websites "zo laag was als verwacht op dit moment".[1]

Het voorstel van security.txt kreeg al snel steun vanuit de beveiligingsgemeenschap en ontwikkelde zich tot een open standaard. In 2019 werd het formeel aangenomen als RFC 9116 door de Internet Engineering Task Force (IETF),[5] een organisatie die verantwoordelijk is voor het ontwikkelen en beheren van internetstandaarden.

Het aannemen van security.txt als RFC benadrukt de bredere acceptatie en erkenning van de standaard binnen de technische gemeenschap. Het biedt een duidelijk kader en richtlijnen voor de implementatie en het gebruik ervan.

Brede acceptatie

Security.txt heeft geleidelijk aan brede acceptatie gekregen bij websitebeheerders, beveiligingsonderzoekers en organisaties. Het wordt nu beschouwd als een nuttige en effectieve manier om de communicatie tussen website-eigenaren en beveiligingsonderzoekers te vergemakkelijken[6].

Organisaties zoals Google, GitHub en verschillende overheidsinstanties hebben security.txt geïmplementeerd op hun websites. Dit heeft bijgedragen aan de bekendheid en de acceptatie van de standaard in de bredere internetgemeenschap. Het Digital Trust Center en het Nationaal Cyber Security Centrum moedigen het gebruik hiervan aan.[7]

Stichting Internet Domeinregistratie Nederland (SIDN) houdt bij hoeveel Nederlandse domeinnamen zijn voorzien van een security.txt-bestand.

Bestandsformaat

Security.txt-bestanden kunnen worden aangeboden onder de map /.well-known/ (i.e. /.well-known/security.txt) of de directory op het hoogste niveau (i.e. /security.txt) van een website. Het bestand moet worden aangeboden via HTTPS en in platte tekst.[8]

Inhoud

Een typisch security.txt-bestand bevat verschillende secties met relevante informatie. Enkele van de meest voorkomende onderdelen zijn:

  • Contact: Dit geeft het e-mailadres of andere contactgegevens van de persoon aan die verantwoordelijk is voor beveiligingskwesties.
  • Expires: Dit veld moet worden gebruikt om de geldigheidsduur van het security.txt-bestand aan te geven. Het specificeert de datum waarop het bestand verloopt en mogelijk moet worden bijgewerkt.
  • Preferred-Languages: Dit is een optioneel onderdeel waarin de voorkeurstaal of talen voor communicatie kunnen worden gespecificeerd.

Security.txt implementeren

Om security.txt te implementeren, moeten websitebeheerders een tekstbestand met de naam "security.txt" toevoegen aan de /.well-known folder van hun website. Dit bestand moet toegankelijk zijn via een specifieke URL: https://www.example.com/.well-known/security.txt. Het /.well-known pad is gestandaardiseerd en wordt gebruikt om algemene informatie over de website te verstrekken.

Het Digital Trust Center biedt een stappenplan voor het implementeren van security.txt. Ook aan IT-dienstverleners zoals managed service providers en hostingbedrijven die voor hun klanten security.txt in bulk willen doorvoeren, is gedacht. Voor IT-dienstverleners zijn handige tips en tools gebundeld in security.txt voor IT-dienstverleners.

Via internet.nl kun je zelf controleren of je website op de juiste manier security.txt heeft geconfigureerd.

Security.txt is verplicht voor de overheid

Per 25 mei 2023 is security.txt toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen. Voor alle andere organisaties in de publieke sector geldt een dringend advies om security.txt toe te passen.

security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is. Dit is opgenomen in de 'Pas toe leg uit' standaarden.

Voordelen

Het gebruik van security.txt biedt verschillende voordelen:

  • '''Snelle melding van beveiligingslekken:''' Bezoekers van de website kunnen gemakkelijk contact opnemen met de verantwoordelijke persoon als ze een beveiligingsprobleem ontdekken, wat snelle reactie en oplossing mogelijk maakt.
  • '''Transparantie en openheid:''' Security.txt geeft blijk van de inzet van de websitebeheerder voor beveiliging en verhoogt de transparantie rondom de beveiligingspraktijken.
  • '''Directe communicatie:''' Het biedt een gestandaardiseerde manier om contact op te nemen met de verantwoordelijke persoon voor beveiligingskwesties, wat de communicatie vergemakkelijkt.
  • '''Verbeterde reputatie:''' Door security.txt te gebruiken, kan een website haar beveiligingsinspanningen benadrukken en het vertrouwen en de geloofwaardigheid van bezoekers

Toekomstige ontwikkelingen

Security.txt blijft zich ontwikkelen en evolueren naarmate de behoeften en uitdagingen op het gebied van websitebeveiliging veranderen. Er wordt voortdurend gewerkt aan het verbeteren van de specificatie en het verkennen van nieuwe functionaliteiten.

Daarnaast zijn er discussies gaande over de mogelijke integratie van security.txt in beveiligingsgerelateerde standaarden en tools, zoals bug bounty-platforms en vulnerability disclosure guidelines.

Stichting Internet Domeinregistratie Nederland (SIDN) geeft aan dat het van plan is om vanaf de eerste helft van volgend jaar (2025) de toepassing van security.txt toe te voegen aan de Registrar Scorecard (RSC). Dat betekent dat er straks een financiële korting wordt gegeven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt. Met deze incentive-regeling ondersteunt de SIDN de adoptie van security.txt.[9]

Bedrijfsleven

In oktober 2022 deden het Digital Trust Center (onderdeel van het ministerie van Economische Zaken en Klimaat) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 100.000.[10]

Referenties

  1. a b c (en) Leyden, John, Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?. www.theregister.co.uk (3 januari 2018).
  2. a b (en) Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer (15 september 2017).
  3. (en) The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence (19 september 2017).
  4. (en) Cimpanu, Catalin, iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet (29 november 2019).
  5. RFC Editor
  6. Brede steun voor internetstandaard security.txt (17 oktober 2022). Geraadpleegd op 13 december 2023.
  7. Wat is security.txt?.
  8. (en) Characterizing the Adoption of Security.txt Files (11 februari 2022).
  9. SIDN introduceert incentive om gebruik van security.txt te stimuleren | Digital Trust Center (Min. van EZK). www.digitaltrustcenter.nl. Geraadpleegd op 2 april 2024.
  10. Wat is security.txt?. Digital Trust Center. Geraadpleegd op 15 november 2023.