Security.txt
Security.txt maakt het eenvoudig om beveiligingsproblemen op een website veilig en gestructureerd te melden
Websites en online diensten worden continu onderzocht op kwetsbaarheden. Niet alleen door kwaadwillenden, maar ook door beveiligingsonderzoekers, IT-professionals en ontwikkelaars die problemen verantwoord willen melden. Voor organisaties is het belangrijk dat zulke meldingen snel op de juiste plek terechtkomen. Security.txt draagt bij aan een veiliger internet, daarom stimuleren we het gebruik ervan.
Eén vaste plek voor securitymeldingen
Security.txt is een gestandaardiseerd tekstbestand dat via een vaste locatie op een website beschikbaar is, namelijk via:
/.well-known/security.txt
In dit bestand staat hoe beveiligingsproblemen gemeld kunnen worden, bijvoorbeeld via een e-mailadres, een meldformulier of aanvullende afspraken over responsible disclosure.
Door deze informatie op een vaste en herkenbare plek en volgens een gestandaardiseerd formaat aan te bieden, hoeven melders niet te zoeken naar een algemeen contactadres of supportpagina. Dat verkort de communicatielijnen en vergroot de kans dat kwetsbaarheden snel en correct worden opgepakt.
Voor Nederlandse overheden is security.txt inmiddels verplicht. Sinds mei 2023 staat de standaard op de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie. Dat betekent dat overheidsorganisaties een geldig security.txt-bestand moeten publiceren op hun publiek toegankelijke systemen.
Internationale standaard
De standaard voor security.txt is vastgelegd binnen de Internet Engineering Task Force, de organisatie die ook veel andere internetstandaarden ontwikkelt. De officiële specificatie is gepubliceerd als RFC 9116.
Steeds meer organisaties nemen security.txt op als onderdeel van hun beveiligingsbeleid. Niet alleen overheden, maar ook bedrijven die hun digitale weerbaarheid serieus nemen.
Net als bij andere moderne internetstandaarden draait het om duidelijke afspraken, voorspelbaarheid en een veiliger internet voor iedereen.
Direct aan de slag
Pas security.txt direct toe op je eigen website en controleer of het bestand correct is ingericht.
Er zijn verschillende hulpmiddelen beschikbaar. Zo kun je met online validators controleren of je bestand technisch klopt en op de juiste locatie staat. Voor WordPress zijn er plug-ins beschikbaar die het genereren en beheren van security.txt vereenvoudigen. Voor .nl-registrar bieden we in de SIDN Academy een e-learning aan over deze internetstandaard.
Veelgestelde vragen over security.txt
Basis en achtergrond
Wat is security.txt precies?
Security.txt is een gestandaardiseerd tekstbestand waarin staat hoe beveiligingsproblemen op een website gemeld kunnen worden. Het bestand is publiek toegankelijk via een vaste URL: /.well-known/security.txt. De standaard is door de Internet Engineering Task Force vastgelegd als RFC 9116.
Waarom is security.txt ontwikkeld?
Voorheen moesten beveiligingsonderzoekers vaak zoeken naar de juiste manier om contact op te nemen met de beheerder van een website. Dat leidde tot vertraging of meldingen die op de verkeerde plek terechtkwamen. Security.txt zorgt voor één herkenbare ingang voor het melden van kwetsbaarheden.
Wie beheert en onderhoudt de security.txt-standaard?
De standaard wordt beheerd door de Internet Engineering Task Force (IETF). De formele specificatie is gepubliceerd als RFC 9116 via de RFC Editor.
Hoe breed wordt security.txt inmiddels gebruikt?
Steeds meer overheden en bedrijven passen security.txt toe. In Nederland staat de standaard sinds 2023 op de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie. Dat betekent dat overheidsorganisaties verplicht zijn een geldig security.txt-bestand te publiceren. Op stats.sidnlabs.nl zie je welk percentage van de .nl-domeinnamen voorzien is van een geldig securty.txt-bestand.
Technische werking
Waar moet security.txt precies geplaatst worden?
Security.txt moet bereikbaar zijn via een vaste locatie op het domein: /.well-known/security.txt.
Welke velden zijn verplicht bij security.txt?
De standaard schrijft in elk geval de velden Contact en Expires voor. Contact bevat de manier waarop een melding kan worden gedaan, bijvoorbeeld via e-mail of een URL. Expires geeft aan tot wanneer het bestand geldig is. Zonder deze velden is het bestand niet conform de standaard.
Welke aanvullende velden zijn er mogelijk bij security.txt?
Optionele velden zijn onder meer Policy, Acknowledgments, Encryption en Hiring. Hiermee kun je verwijzen naar je responsible-disclosurebeleid, een bedankpagina of een publieke sleutel voor versleutelde communicatie. In RFC 9116 staat een volledig overzicht van alle velden.
In welk formaat moet het security.txt-bestand worden aangeboden?
Security.txt is een bestand in platte tekst in UTF-8. Het bestand bevat per regel een veldnaam en waarde, gescheiden door een dubbele punt. De datum bij Expires moet in ISO 8601-formaat worden opgegeven, in UTC.
Implementatie in de praktijk
Hoe voeg ik security.txt toe aan een bestaande website?
In de basis is het een tekstbestand dat je op de juiste locatie op je webserver plaatst. Voor veel contentmanagementsystemen, zoals WordPress, zijn er plug-ins beschikbaar die het genereren vereenvoudigen. De Vereniging van Registrars heeft bijvoorbeeld een WordPress-plug-in ontwikkeld.
Moet mijn webserver speciaal worden ingesteld voor security.txt?
Meestal niet. Als je toegang hebt tot de webroot of de .well-known-directory kunt aanmaken, volstaat het plaatsen van een tekstbestand. Wel moet het bestand publiek toegankelijk zijn en de juiste contenttype header hebben.
Hoe controleer ik of het security.txt-bestand correct bereikbaar is?
Je kunt in de browser controleren of het bestand zichtbaar is via https://example.nl/.well-known/security.txt. Daarnaast kun je gebruikmaken van online validatietools. Met de security.txt-validator van URIports kun je controleren of het bestand technisch klopt en op de juiste locatie staat
Beveiligingsbeleid en processen
Hoe sluit security.txt aan op responsible disclosure?
Security.txt is een technische ingang. Responsible disclosure beschrijft het proces en de afspraken rond het melden en afhandelen van kwetsbaarheden. In security.txt kun je verwijzen naar je disclosurebeleid via het veld Policy.
Moet ik intern processen inrichten voor meldingen via security.txt?
Ja. Een security.txt publiceren heeft alleen waarde als meldingen ook daadwerkelijk worden opgepakt. Denk aan een vaste mailbox, duidelijke verantwoordelijkheden en een registratieproces.
Welke reactietermijnen zijn gebruikelijk bij security.txt?
Er is geen termijn vastgelegd in de standaard. In de praktijk sturen organisaties binnen enkele dagen een ontvangstbevestiging en stemmen ze de publicatie van een kwetsbaarheid af met de melder. Het NCSC geeft hierover richtlijnen in het kader van coordinated vulnerability disclosure.
Hoe ga ik om met gevoelige meldingen via security.txt?
Zorg dat meldingen vertrouwelijk worden behandeld en alleen toegankelijk zijn voor bevoegde medewerkers. Overweeg versleutelde communicatie via het veld Encryption in security.txt, bijvoorbeeld met een PGP-sleutel.
Voordelen en beperkingen
Wat levert security.txt concreet op?
Security.txt verkleint de kans dat meldingen blijven liggen of verkeerd terechtkomen. Dat kan helpen om kwetsbaarheden sneller te verhelpen en reputatieschade te beperken. Daarnaast laat je zien dat je openstaat voor verantwoord melden.
Helpt security.txt bij het snel oplossen van kwetsbaarheden?
Indirect wel. Security.txt versnelt de eerste stap: het bereiken van de juiste contactpersoon. De daadwerkelijke oplostijd hangt af van je interne processen en capaciteit.
Wat lost security.txt niet op?
Het voorkomt geen kwetsbaarheden en vervangt geen beveiligingsmaatregelen. Het is een communicatiestandaard, geen technische beveiligingsoplossing.
Is security.txt verplicht of vrijwillig?
Voor Nederlandse overheidsorganisaties is security.txt verplicht via de ‘Pas toe of leg uit’-lijst van het Forum Standaardisatie. Voor andere organisaties is het vrijwillig, maar het wordt gezien als best practice voor moderne internetstandaarden.
Veiligheid en misbruik
Kan security.txt juist extra risico’s opleveren?
Security.txt bevat alleen contactinformatie en beleidsverwijzingen. Het vergroot niet direct je aanvalsvlak. Wel moet je rekening houden met mogelijk extra e-mailverkeer.
Trek ik met security.txt ongewenste aandacht aan?
Onderzoek wijst uit dat organisaties zonder security.txt ook worden gescand en onderzocht. Security.txt maakt vooral duidelijk hoe meldingen verantwoord kunnen worden gedaan.
Hoe voorkom ik spam op of misbruik van het contactadres voor security.txt?
Gebruik bij voorkeur een specifiek e-mailadres voor securitymeldingen. Richt filters in en zorg dat de mailbox actief wordt beheerd. Overweeg een webformulier als aanvulling.
Relatie met andere standaarden
Hoe verhoudt security.txt zich tot responsible-disclosurebeleid?
Security.txt verwijst naar het beleid, maar vervangt het niet. Het bestand is de technische ingang, het disclosure-beleid beschrijft de inhoudelijke afspraken.
Is security.txt vergelijkbaar met robots.txt?
Beide bestanden staan op een vaste locatie en geven instructies aan externe partijen. Robots.txt richt zich op zoekmachines, security.txt op beveiligingsmeldingen.
Kun je in security.txt verwijzen naar een bugbountyplatform?
Ja. Via het veld Contact of Policy kun je verwijzen naar een bugbountyprogramma of platform waar meldingen kunnen worden gedaan. Een bug bounty is optioneel en staat los van de standaard zelf.