Een security.txt bestand op je website: hoe en waarom?

Een security.txt bestand op je website: hoe en waarom?

Geschreven op 27-10-2022 door Sander Cruiming
Categorieën: Online Beveiliging
Een security.txt bestand op je website: hoe en waarom?

In deze blogpost gaan we je vertellen waarom ook jouw website een security.txt-bestand zou moeten krijgen. Met dit bestand kunnen techneuten, onderzoekers en etische hackers snel en geautomatiseerd zien hoe ze beveiligingslekken bij jouw bedrijf kunnen melden. Het is een simpel te genereren tekstbestandje, en kost je waarschijnlijk slechts een paar minuten om te regelen. De Nederlandse overheid is onlangs een campagne begonnen om het gebruik van dit bestand te stimuleren, en op internet wint deze nieuwe standaard snel aan populariteit.

Waarvoor dient het security.txt bestand?

Het security.txt bestand moet het voor techneuten, onderzoekers en etische hackers makkelijker en sneller maken om gevonden beveiligingslekken aan bedrijven te melden. Ze hoeven dan niet een website of het internet af te speuren om de juiste afdeling, contactpersoon en/of e-mailadres te vinden om zo'n lek te melden. Omdat het security.txt bestand een standaard opmaak heeft, kan het zelfs geautomatiseerd worden door een systeem worden uitgelezen.

Het belang om zo snel mogelijk over beveiligslekken geinformeerd te worden

Je wilt natuurlijk voorkomen dat je website wordt gehackt, persoonsgegevens op straat komen te liggen of dat je bedrijf zelfs gedeeltelijk stil komt te liggen. Afhankelijk van de ernst van het beveiligingslek, kunnen de gevolgen voor je bedrijf soms groot zijn als zo'n lek wordt misbruikt. Daarom wil je zo snel mogelijk weten over eventuele beveiligingslekken die derden vinden op je website en bij je bedrijf, voordat kwaadwillenden er mee aan de haal gaan. Het security.txt bestand maakt het makkelijker voor mensen om de lekken aan jou te melden. Je vergroot daarmee de kans aanzienlijk dat je over meer beveiligingslekken en sneller zal worden geinformeerd.

Hoe ziet een security.txt bestand er uit?

We hebben bij XXL Hosting zelf ook een security.txt bestand online gezet. Deze kun je vinden op: https://www.xxlhosting.nl/.well-known/security.txt

De inhoud van ons security.txt bestand is als volgt:

Contact: mailto:support@xxlhosting.nl
Expires: 2023-10-31T20:00:00.000Z
Acknowledgments: https://www.xxlhosting.nl/voorwaarden
Preferred-Languages: nl, en
Canonical: https://www.xxlhosting.nl/.well-known/security.txt
Policy: https://www.xxlhosting.nl/voorwaarden
Hiring: https://www.xxlhosting.nl/werkenbij

De betekenis van dit bestand zal ik regel-voor-regel uitleggen:

  • Bij "Contact" staat hoe wij beveiligingslekken graag ontvangen. We hebben daarbij gekozen om die te laten mailen naar support@xxlhosting.nl. Dit mag ook een contactformulier op de website zijn.
  • Bij "Expires" staat een datum en tijdstip waarop het security.txt bestand vervalt. Zo kan iemand zien en inschatten hoe actueel het bestand en de contactgegevens nog zijn. Het is dus belangrijk dat je in je agenda zet dat je bijvoorbeeld elk jaar het bestand controleert en indien nodig aanpast.
  • Bij "Acknowledgments" staat een link naar een pagina op je website toevoegen waarop je mensen kunt bedanken die een lek aan je hebben gemeld. Wij verwijzen hierbij naar onze "responsible disclore policy", waarin we nemen en bedankjes kunnen plaatsen. Ook hebben wij ervoor gekozen om als extraatje T-shirts of waardebonnen weg te geven.
  • Bij "Preferred-Languages" geven we aan dat meldingen het liefst in het Nederlands (nl) en Engels (en) ontvangen.
  • Bij "Canonical" zeggen we dat https://www.xxlhosting.nl/.well-known/security.txt de URL van ons security.txt bestand is. Dit is met name belangrijk als je meerdere domeinnamen of subdomeinen gebruikt.
  • Bij "Policy" linken we naar weer onze "responsible disclore policy". In zo'n policy staat het stappenplan beschreven hoe een lek aan ons kan worden gemeld, hoe wij daarmee omgaan, en wat wij verwachten van de melder hoe hij/zij daarmee omgaat.
  • Bij "Hiring" linken we naar onze "werken/stage bij" pagina op onze website, waarop beschikbare vacatures staan.

Hoe maak en upload ik een security.txt bestand voor mijn eigen website?

Het genereren en online zetten van een security.txt bestand is vrij simpel en in een paar stappen geregeld:

  1. Ga naar de website https://securitytxt.org/ , waarmee je een security.txt bestand voor je eigen bedrijf kunt genereren. Onder "Step 1" op deze website kun je de gestelde vragen beantwoorden. De vragen waar "optional" bij staat, mag je eventueel overslaan.
  2. Als je alle vragen hebt beantwoord, klik je op de groene "Generate security.txt file" knop. Onder "Step 2" kun je het voor jou genereerde bestand dan kopieren.
  3. Plaats deze tekst dan in een bestandje met de naam security.txt , en upload dit bestandje naar public_html/.well-known/ . Het bestandje is dan op te vragen via https://www.domeinnaam.nl/.well-known/security.txt