„security.txt“
nach RFC 9116
Schon mal etwas von der Möglichkeit gehört, eine "security.txt" nach RFC 9116 auf dem Webserver zu platzieren? Nein? Dann einfach mal fix weiterlesen *Zwinkersmiley*
Findet jemand eine Sicherheitslücke, so sollte man ihm sinnvollerweise auch die Gelegenheit geben, diese dem Verantwortlichen kurzfristig mitteilen zu können. Doch an wen konkret wendet man sich in einem solchen Fall? Häufig wird das nicht transparent kommuniziert und allein die entsprechenden Informationen zu finden, wird schon zur ersten Herausforderung für den Meldenden.
Hier möchte das RFC 9116 Abhilfe schaffen und stellt mit der so genannten "security.txt" eine standardisierte und (theoretisch auch) automatisiert auswertbare Informationsquelle für die Meldung von Sicherheitsproblemen zur Verfügung. In der "security.txt" werden dazu verschiedene Informationen platziert, bspw. die URL, wo die "security.txt" selbst zu finden ist, die Kontaktdaten des Ansprechpartners für die Meldung sowie ggf. auch schon kryptographisches Schlüsselmaterial für eine sichere Kommunikation. Eine "security.txt" MUSS dabei nach RFC 9116 unter dem Pfad "/.well-known/" platziert werden. Für meine Domäne we.secure-your.it lautet der vollständige Pfad somit "https://we.secure-your.it/.well-known/security.txt". Dies in aller Kürze, alle weiteren Vorgaben und Möglichkeiten lassen sich natürlich im RFC 9116 nachlesen.
Aber Achtung: Wenn man eine sichere Kommunikationsmöglichkeit -bspw. durch Verwendung eines Public-Key-Pairs- zur Verfügung stellen möchte, sollte auch sichergestellt sein, dass alle jeweiligen Ansprechpartner über das notwendige Schlüsselmaterial -in diesem Fall also den zugehörigen Private Key- verfügen, denn nur dann ist eine (lesbare) Kommunikation sichergestellt. Es kann durchaus hilfreich sein, das genaue Vorgehen und das notwendige Schlüsselmaterial erst nach einem erfolgreichen Erstkontakt -in dessen Verlauf natürlich keine brisanten Informationen übermittelt werden sollten- auszutauschen.