Dit bericht verscheen eerder op BIT
Herken je dat? Je merkt ergens een probleem op, maar jij kan dat niet oplossen. Maar je kan wel iemand attenderen op dat probleem, zodat die persoon of organisatie het probleem aan kan pakken. Makkelijk zat, totdat blijkt dat degene die je het eerst aanspreekt je naar iemand anders verwijst. De tweede persoon weet niet waar je het over hebt en stuurt je naar persoon nummer drie. En als de derde persoon er blijk van geeft helemaal niet geïnteresseerd te zijn in het probleem, gooi je de handdoek maar in de ring. Daar sta je dan met je goeie gedrag.
Beveiligingsonderzoekers en (ethisch) hackers lopen hier dagelijks tegen aan. Het probleem is in beeld, de oplossing vaak ook, maar er is niemand te bereiken die zich probleemeigenaar voelt. Vanwege dergelijke situaties is de internetstandaard ‘security.txt‘ bedacht. Security.txt is een bestand waarin beschreven staat waar beveiligingsmeldingen naartoe gestuurd kunnen worden. Soms staat er nog wat extra informatie in, zoals welk beleid een organisatie hanteert voor beveiligingsmeldingen. Het security.txt-bestand staat op een vaste plaats op websites en is daardoor eenvoudig voor informatiebeveiligingsonderzoekers te vinden.
Steun voor security.txt
Diverse organisaties waaronder het Digital Trust Center, maar ook onze hackervrienden van DIVD moedigen het gebruik van security.txt aan. Een paar maanden geleden kondigde SIDN, de organisatie achter .NL, aan vanaf 2025 korting te geven op .NL domeinnamen waar een security.txt voor gedefineerd staat. En alweer sinds een paar jaar controleert internet.nl op de beschikbaarheid van het bestand. Kortom veel van de mensen en organisaties die ons internet veilig houden pleiten voor het gebruik van security.txt.
Maken, uploaden en controleren
Op de sites van BIT zelf staat al geruime tijd een security.txt. Sommigen van onze klanten hebben ook al een security.txt geplaatst. Het opstellen van zo’n bestand is heel eenvoudig, zeker met wat hulp. Upload het bestand en zorg dat het bestand onder het standaard pad beschikbaar komt. Een vervaldatum in het bestand is verplicht, zorg dus dat je het bestand tijdig aanpast. Klanten van BIT die een monitoringsdienst van BIT afnemen kunnen deze dienst uit laten breiden met een check op de vervaldatum van hun eigen security.txt. Wij zorgen er dan voor dat je tijdig herinnerd wordt aan het aanpassen van het bestand.
Shared hosting
Klanten die shared hosting bij BIT afnemen kunnen uiteraard ook een security.txt bestand plaatsen. Zij kunnen in de htdocs directory een .well-known directory aanmaken en het bestand daarin plaatsen. Als er verschillende websites vanuit één webruimte geserveerd worden of als er ingewikkelde redirect regels in een .htaccess bestand staan, kunnen wij je helpen bij het beschikbaar maken van het bestand.
Voor websites op ons shared hosting platform waar geen aparte security.txt voor geplaatst is, zorgen wij dat er een standaard security.txt geserveerd wordt. Eventuele meldingen over kwetsbare infrastructuur die op het contactadres in die security.txt ontvangen worden, worden door BIT zelf afgehandeld. Deze infra is immers van BIT zelf. Meldingen over kwetsbare applicaties (websites) zullen door ons doorgestuurd worden naar betreffende klant. De applicatie/website wordt per slot van rekening door de klant zelf beheerd.
Verplicht
Voor Nederlandse overheden (rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector geldt sinds mei 2023 een verplichting om security.txt te implementeren. Als jouw organisatie niet onder deze verplichting valt, is het nog steeds verstandig om wel een security.txt. Je wordt toch zeker liever door hackers of onderzoekers gewaarschuwd dan dat criminelen misbruik maken van een verkeerde configuratie of verouderde software?
Door: Wido Potters
Dit bericht verscheen eerder op BIT