security.txt

Security.txt is een gestandaardiseerd tekstbestand dat dient om beveiligingsinformatie, zoals gevonden kwetsbaarheden, direct naar de juiste persoon of team achter een website te sturen. Het is vergelijkbaar met een briefje aan de voordeur van een huis, waarop mensen kunnen zien hoe ze contact kunnen opnemen met de eigenaar in geval van verdachte activiteiten.^[1]^[2] Met security.txt kunnen websitebeheerders open en transparant zijn over hun beveiligingsbeleid en de contactgegevens delen waar beveiligingsonderzoekers, ethische hackers en notificatiedienstverleners, et cetera, direct een melding kunnen maken.

De standaard schrijft een tekstbestand voor met de naam "security.txt" op de well-known-locatie, qua syntaxis vergelijkbaar met robots.txt, maar bedoeld is om door machines en mensen te worden gelezen.^[3] Dit geeft als voordeel dat meldingen die veel organisaties treffen, zoals een kwetsbaarheid in een veelgebruikt softwarepakket, geautomatiseerd kunnen worden verstuurd. De security.txt-standaard wordt breed gebruikt, bijvoorbeeld door de Nederlandse overheid^[4] en is ook overgenomen door bedrijven als Google, GitHub, LinkedIn en Facebook.^[5]

Geschiedenis en ontwikkeling

Security.txt werd voor het eerst voorgesteld door Ed Foudil, een beveiligingsonderzoeker, in 2017. Hij merkte op dat er geen gestandaardiseerde manier was voor websitebeheerders om informatie over hun beveiligingsbeleid te delen. Dit maakte het moeilijk voor beveiligingsonderzoekers om verantwoordelijke partijen te bereiken en beveiligingslekken te melden.^[1]

Om dit probleem aan te pakken, stelde Foudil het idee voor van een gestandaardiseerd tekstbestand genaamd security.txt. Dit bestand zou specifieke velden bevatten waarin websitebeheerders contactgegevens en andere relevante informatie voor beveiligingskwesties konden vermelden. Op deze manier zouden beveiligingsonderzoekers gemakkelijk de juiste personen kunnen bereiken en problemen kunnen rapporteren.

Op dat moment omvatte het vier richtlijnen, "Contact", "Encryptie", "Openbaarmaking" en "Bevestiging". Foudil verwachtte op basis van feedback nog meer richtlijnen toe te voegen.^[2] Bovendien zei beveiligingsexpert Scott Helme dat hij positieve feedback van de beveiligingsgemeenschap had gezien, terwijl het gebruik onder de top 1 miljoen websites "zo laag was als verwacht op dit moment".^[1]

Het voorstel van security.txt kreeg al snel steun vanuit de beveiligingsgemeenschap en ontwikkelde zich tot een open standaard. In 2019 werd het formeel aangenomen als RFC 9116 door de Internet Engineering Task Force (IETF),^[6] een organisatie die verantwoordelijk is voor het ontwikkelen en beheren van internetstandaarden.

Het aannemen van security.txt als RFC benadrukt de bredere acceptatie en erkenning van de standaard binnen de technische gemeenschap. Het biedt een duidelijk kader en richtlijnen voor de implementatie en het gebruik ervan.

Acceptatie

Security.txt heeft geleidelijk aan brede acceptatie gekregen bij websitebeheerders, beveiligingsonderzoekers en organisaties. Het wordt nu beschouwd als een nuttige en effectieve manier om de communicatie tussen website-eigenaren en beveiligingsonderzoekers te vergemakkelijken^[7].

Organisaties zoals Google, GitHub en verschillende overheidsinstanties hebben security.txt geïmplementeerd op hun websites. Dit heeft bijgedragen aan de bekendheid en de acceptatie van de standaard in de bredere internetgemeenschap. Het Nationaal Cyber Security Centrum moedigt het gebruik hiervan aan.^[8] In oktober 2022 deden het Digital Trust Center (voormalig onderdeel van het ministerie van Economische Zaken en Klimaat) en een groot aantal ambassadeurs een oproep aan bedrijven en IT-dienstverleners om security.txt te gebruiken. Sinds die oproep is het aantal Nederlandse domeinnamen dat voorzien is van een security.txt-bestand gegroeid naar ruim 100.000.^[9]

Stichting Internet Domeinregistratie Nederland (SIDN) houdt bij hoeveel Nederlandse domeinnamen zijn voorzien van een security.txt-bestand^[10] en publiceert informatie voor website-eigenaren die de standaard willen toepassen^[11]. Ook hebben zijn sinds half 2025 de toepassing van security.txt toegevoegd aan de Registrar Scorecard (RSC). Dat betekent dat er een financiële korting wordt gegeven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt. Met deze incentive-regeling ondersteunt de SIDN de adoptie van security.txt.^[12]

Via testtool internet.nl kan gecontroleerd worden of je website de security.txt volgens de specificatie heeft geconfigureerd.

Bestandsformaat

Security.txt-bestanden dienen te worden aangeboden onder de map /.well-known/ (i.e. /.well-known/security.txt). In eerdere conceptversies werd publicatie ook de direct op het hoofddomein geaccepteerd (i.e. /security.txt), maar dit is in de uiteindelijke versie afgeraden. Het bestand moet worden aangeboden via HTTPS en in platte tekst.^[13]

Inhoud

Een typisch security.txt-bestand bevat verschillende secties met relevante informatie. Enkele van de meest voorkomende onderdelen zijn:

Contact: Dit geeft het e-mailadres of andere contactgegevens van de persoon aan die verantwoordelijk is voor beveiligingskwesties.
Expires: Dit veld moet worden gebruikt om de geldigheidsduur van het security.txt-bestand aan te geven. Het specificeert de datum waarop het bestand verloopt en de inhoud niet meer vertrouwd moet worden.
Preferred-Languages: Dit is een optioneel onderdeel waarin de voorkeurstaal of -talen voor communicatie kunnen worden gespecificeerd.

Verplicht voor de overheid

Per 25 mei 2023 is security.txt toegevoegd aan de 'Pas toe of leg uit'-lijst van Forum Standaardisatie. Dit betekent dat Nederlandse gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties verplicht zijn om deze open standaard toe te passen, of expliciet toe te lichten waarom toepassing niet mogelijk is. Voor alle andere organisaties in de publieke sector geldt een dringend advies om security.txt toe te passen.

De security.txt-standaard moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is.

Voordelen en risico's

Het gebruik van security.txt biedt verschillende voordelen:

Snelle melding van beveiligingslekken: bezoekers van de website kunnen gemakkelijk contact opnemen met de verantwoordelijke persoon als ze een beveiligingsprobleem ontdekken, wat snelle reactie en oplossing mogelijk maakt.

Transparantie en openheid: security.txt geeft blijk van de inzet van de websitebeheerder voor beveiliging en verhoogt de transparantie rondom de beveiligingsbeleid.

Directe communicatie: het biedt een gestandaardiseerde manier om contact op te nemen met de verantwoordelijke persoon voor beveiligingskwesties, wat de communicatie vergemakkelijkt.

Daartegenover staan enkele risico's:

Er worden contactgegevens gepubliceerd, welke ook misbruikt kunnen worden voor spam en phishing.
Het publiceren van een security.txt zou kunnen worden gezien als een uitnodiging om de website aan te vallen, wat gevolgen kan hebben voor de beschikbaarheid van de website.

Referenties

1 2 3 (en) Leyden, John, Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?. www.theregister.co.uk (3 januari 2018).
1 2 (en) Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer (15 september 2017).
↑ (en) The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence (19 september 2017).
↑ NCSC - Handreiking security.txt voor Rijksoverheidsorganisaties. www.ncsc.nl. Geraadpleegd op 26 maart 2026.
↑ (en) Cimpanu, Catalin, iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet (29 november 2019).
↑ RFC Editor
↑ Brede steun voor internetstandaard security.txt (17 oktober 2022). Geraadpleegd op 13 december 2023.
↑ NCSC - Wat is security.txt?. www.ncsc.nl. Geraadpleegd op 26 maart 2026.
↑ Wat is security.txt?. Digital Trust Center. Geraadpleegd op 15 november 2023.
↑ .nl statistieken | SIDN Labs. .nl statistieken | SIDN Labs. Geraadpleegd op 26 maart 2026.
↑ Security.txt | Cybersecurity | SIDN. SIDN - Het bedrijf achter .nl. Geraadpleegd op 26 maart 2026.
↑ SIDN introduceert incentive om gebruik van security.txt te stimuleren | Digital Trust Center (Min. van EZK). www.digitaltrustcenter.nl. Geraadpleegd op 2 april 2024.
↑ (en) Characterizing the Adoption of Security.txt Files (11 februari 2022).

Externe links

(en) securitytxt.org
(en) Voorbeeld van een security.txt-bestand

[Register-1] 1 2 3 (en) Leyden, John, Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?. www.theregister.co.uk (3 januari 2018).

[BleepingComputer-2] 1 2 (en) Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer (15 september 2017).

[3] (en) The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence (19 september 2017).

[4] NCSC - Handreiking security.txt voor Rijksoverheidsorganisaties. www.ncsc.nl. Geraadpleegd op 26 maart 2026.

[Cimpanu_2019-5] (en) Cimpanu, Catalin, iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet (29 november 2019).

[6] RFC Editor

[7] Brede steun voor internetstandaard security.txt (17 oktober 2022). Geraadpleegd op 13 december 2023.

[8] NCSC - Wat is security.txt?. www.ncsc.nl. Geraadpleegd op 26 maart 2026.

[9] Wat is security.txt?. Digital Trust Center. Geraadpleegd op 15 november 2023.

[10] .nl statistieken | SIDN Labs. .nl statistieken | SIDN Labs. Geraadpleegd op 26 maart 2026.

[11] Security.txt | Cybersecurity | SIDN. SIDN - Het bedrijf achter .nl. Geraadpleegd op 26 maart 2026.

[12] SIDN introduceert incentive om gebruik van security.txt te stimuleren | Digital Trust Center (Min. van EZK). www.digitaltrustcenter.nl. Geraadpleegd op 2 april 2024.

[Characterizing_the_Adoption_of_Security.txt_Files-13] (en) Characterizing the Adoption of Security.txt Files (11 februari 2022).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]