security.txt är nu RFC 9116

Efter fem års arbete är nu äntligen security.txt fastslagen standard informational och har fått RFC 9116. Security.txt är en fil som företag, organisationer och privatpersoner kan placera på sin webbserver för att peka ut lämpliga kontaktvägar för den som identifierar en säkerhetsbrist.

Bakom arbetet med att standardisera denna text-fil står EdOverflow och Yakov Shafranovich. Flertalet stora och kända organisationer såsom Google, Facebook och Github använder sig av denna text-fil.

Om du vill skapa upp en sådan fil själv så kan du använda verktyget som återfinnes här:

Och det finns även ett Github-repo för den som vill hjälpa till med utvecklingen av security.txt här:

Exempel på hur en fil som är placerad under https://example.com/.well-known/security.txt kan se ut:

# Our security address
Contact: mailto:[email protected]

# Our OpenPGP key
Encryption: https://example.com/pgp-key.txt

# Our security policy
Policy: https://example.com/security-policy.html

# Our security acknowledgments page
Acknowledgments: https://example.com/hall-of-fame.html

Expires: 2021-12-31T18:37:07z

Tyvärr har dock kryptera.se ingen sådan fil ännu, men det kommer vilket år som helst.

Update: Glömde givetvis att länka till själva RFC:n som du hittar här.

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar