Security.txt is sinds april 2022 een Internet Engineering Task Force (IETF) informational standard. Een security.txt-bestand is een tekstbestand dat organisaties in de gelegenheid stelt om een security-policy publiekelijk kenbaar te maken op een vooraf gedefinieerde URL op hun webserver(s). Dit bestand specificeert onder andere het beleid van de organisatie met betrekking tot het melden van kwetsbaarheden en via welke kanalen er hierover contact opgenomen kan worden. Hoe sneller de juiste persoon (of team) op de hoogte gesteld is, hoe sneller mitigerende maatregelen kunnen volgen.
Security.txt is een klein txt-bestand dat op een webserver wordt geplaatst.
Naast de verplichte velden "Contact" en "Expires" zijn er een aantal velden optioneel.
De belangrijkste lichten we hieronder toe.
Contact: mailto:security@voorbeeldbedrijf.nl
Contact: https://voorbeeldbedrijf.nl/contact
Expires: 2023-09-13T11:33:70.000Z
Encryption: https://voorbeeldbedrijf.nl/pgp.txt
Preferred-Languages: nl,en
Canonical: https://voorbeeldbedrijf.nl/.well-known/security.txt
Policy: https://voorbeeldbedrijf.nl/security-policy/
VIa de testtool Internet.nl kun je checken of op je webserver een security.txt aanwezig is. Heb je het bestand niet volgens de standaard de security.txt file gepubliceerd, dan krijg je hier een melding van.
Per 25 mei 2023 is de internetstandaard security.txt aan de 'Pas toe of leg uit'-lijst toegevoegd. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen. Voor alle andere organisaties in de publieke sector geldt een dringend advies om security.txt toe te passen.
“Security.txt is een eenvoudige cybersecuritymaatregel die organisaties helpt tegen de schade van cyberaanvallen. We roepen cybersecuritybedrijven dan ook op om deze nieuwe internetstandaard toe te voegen aan de standaard dienstverlening en hun klanten te wijzen op het bestaan van security.txt. Zo dragen wij met een kleine inspanning bij aan een digitaal veilig Nederland.”
Voor IT-dienstverleners zoals webhosters en managed service providers is het belangrijk om goed af te stemmen bij wie een kwetsbaarheidsmelding primair binnenkomt; bij de klant of bij de IT-dienstverlener. Security.txt biedt de mogelijkheid om voor alle domeinen die onder je organisatie vallen, of domeinen van klanten die IT-diensten bij jou afnemen, één centraal meldpunt voor kwetsbaarheden te organiseren. Dit betekent dat responsible disclosure (RD) en coordinated vulnerability disclosure (CVD) meldingen in eerste instantie bij jou als IT-dienstverlener binnenkomen. Je kunt besluiten om deze meldingen vervolgens met de betrokken klanten delen. Het is belangrijk hierover duidelijke afspraken te maken.
Een voorbeeld:
Je ontwikkelt webshopsoftware en biedt aan een groot aantal klanten webshops aan als SaaS-oplossing. Dan kan het voor jou heel relevant zijn om één security.txt-bestand te maken voor de domeinnamen van alle klanten waarvoor je de webshopapplicatie host. Als er een kwetsbaarheid geconstateerd wordt in de webshopsoftware, dan wil je daar graag snel van op de hoogte zijn zodat je deze kwetsbaarheid voor alle andere klanten kunt repareren.
Als het wenselijk is om in bulk voor veel domeinnamen te verwijzen naar één security.txt-adres, dan kan een HTTP 302 redirect handig zijn. Mogelijk handiger dan een apart security.txt-bestand voor elk domein afzonderlijk omdat:
Security.txt wordt ondersteund door hostingpakketten cPanel, Plesk en DirectAdmin. Dit maakt het gemakkelijker om een security.txt-bestand op te zetten en vergemakkelijkt het beheer ervan.
Bij een Apache webserver kun je bijvoorbeeld de volgende configuratie aanpassing doen om een redirect te maken naar een centrale security.txt-bestand.
############
RewriteEngine On
RewriteRule "^/.well-known/security\.txt$" https://www.example.nl/.well-known/security.txt [R=302,L]
RewriteRule "^/security\.txt$" https://www.example.nl/.well-known/security.txt [R=302,L]
#[eventueel bestaande RewriteRule regels hier]#
############
Ook met Microsoft Internet Information Services (IIS) webservers is het mogelijk om een rewrite toe te passen. Op deze manier kunnen derden contact leggen met je organisatie indien er een kwetsbaarheid gevonden is op één van je (klant)systemen.
Als je verschillende domeinen in één keer wilt testen of je eigen securityscan wilt uitbreiden met een controle op security.txt, dan kun je hiervoor de open-source tool van het DTC gebruiken.
Voor het bouwen van de test is ook een python package met bouwstenen beschikbaar.
Wil je security.txt configureren voor NGINX? Check dan de volgende Git repo. Hiermee kun je voor NGINX eenvoudig meerdere domeinen met security.txt beschikbaar stellen en ook eenvoudig beheren.
Vergeet niet op internet.nl nog even te checken of je file compliant is aan de standaard RFC 91116.
Gebruik de security.txt plug-in die de Vereniging van Registrars ontwikkelde voor het eenvoudig maken en beheren van een security.txt-bestand in een Wordpress-CMS.
“Security.txt makes it less likely someone who finds a vulnerability will shout it from the rooftops, versus whisper it in your ear. But you still have to listen for that whisper, amid all the noise that comes with it.”
Wil je als IT-dienstverlener niet alle meldingen voor je klanten binnenkrijgen? Dan kun je overwegen om bij de uitrol van nieuwe webapplicaties je klanten te vragen of verplichten om zelf een security.txt-bestand te genereren. Voor veel CMS-systemen zijn er bijvoorbeeld al plugins beschikbaar om een security.txt-bestand te configureren.
Toen de RFC nog in ontwikkeling was, werd er gebruik gemaakt van een security.txt-bestand in de root van het desbetreffende systeem. Bijvoorbeeld https://voorbeeldbedrijf.nl/security.txt. Bij de doorontwikkeling van deze RFC is er voor gekozen om het bestand niet in de root maar in de "/.well-known/"-folder te plaatsen om de root directory niet te vervuilen en overzichtelijk te houden. De RFC markeert deze paden als verouderd en raadt aan deze niet meer te gebruiken.
Voor elke organisatie zal er een beleid of procedure beschreven worden hoe het omgaat met securitymeldingen. In een zogenoemd beleid voor Responsible Disclosure (RD) of Coordinated Vulnerability Disclosure (CVD) kun je aangeven wat je met de meldingen doet en wat de melder van jouw organisatie mag verwachten.
“A fundamental part of fixing data breaches is that we need to collectively strive to do better. We must all acknowledge that none of us are immune to security vulnerabilities and it must be one of our highest priorities to engage with those wanting to bring them to our attention. Security.txt is a really simple idea that works well, it is just a simple text file.”
Het security.txt-bestand kan door derden, zoals ethische hackers, beveiligingsonderzoekers, cybersecuritybedrijven en overheidsorganisaties zoals NCSC en DTC, gebruikt worden om kwetsbaarheden te melden voor de systemen waarvoor het security.txt-bestand bedoeld is.
Digital Trust Center zal bij ernstige kwetsbaarheden onderzoeken of een organisatie security.txt heeft geconfigureerd. Als er een e-mailadres gevonden wordt, dan zal er (geautomatiseerd) een notificatie verstuurd worden naar dat e-mailadres. Digital Trust Center gebruikt bij een mailnotificatie altijd het afzenderadres: algemeen@digitaltrustcenter.nl.
De handleiding bij RFC9116 meldt een klein aantal nadelen of risico's. Het belangrijkste risico is dat er door het opnemen van contactgegevens in een security.txt-bestand een risico op spam en nepmeldingen bestaat. Doordat deze contactgegevens door het publiceren van een security.txt-bestand publiek te vinden zijn, kunnen spammers en scammers dit adres ook vinden en gebruiken voor andere doeleinden, bijvoorbeeld phishing. Dit risico geldt voor elk e-mailadres dat op websites vindbaar is, zoals een e-mailadres voor vragen of contact. Denk daarbij aan contact@voorbeeldbedrijf.nl of pers@voorbeeldbedrijf.nl.
Daarom adviseren we om maatregelen te treffen om binnenkomende e-mails goed te filteren. Komt er na het filteren toch nog teveel spam binnen, dan kan een webformulier als security.txt-contactadres uitkomst bieden. Bijvoorbeeld: "Contact: https://voorbeeldbedrijf.nl/security-contact.html".
Een aantal bedrijven hebben security.txt al in gebruik en kunnen dus uit ervaring vertellen hoe het in de praktijk werkt. Laat je informeren over het nut, de nadelen en het gebruiksgemak van security.txt.
Heb je vragen over keuzes die je over de implementatie van security.txt maakt? Sluit je dan aan bij de NCSC Community waar ondernemers en IT-professionals dagelijks kennis en informatie uitwisselen over cybersecurity-onderwerpen. Maak je interesse kenbaar via onderstaande button.
