Was ist security.txt Generator & Validator?
security.txt ist eine einfache Textdatei, die unter /.well-known/security.txt veroffentlicht wird und Sicherheitsforschern mitteilt, wie sie Sie bezuglich Sicherheitslucken kontaktieren konnen. Es wird durch RFC 9116 definiert und von Google, GitHub und wichtigen Plattformen zur Offenlegung von Sicherheitslucken unterstutzt. Die Datei enthalt ein Kontaktfeld (URL oder E-Mail), ein Ablaufdatum (Expires) sowie optionale Felder fur Canonical, Encryption, Policy, Acknowledgments und Hiring.
Kurze Antwort
security.txt ist eine Datei unter /.well-known/security.txt, die Sicherheitsforschern mitteilt, wie sie Sicherheitslucken an Sie melden konnen. Mindestens mussen Sie ein Kontaktfeld (URL oder E-Mail) und ein Ablaufdatum (Expires) angeben. Verlangern Sie die Datei vor Ablauf, um Ihren Kanal zur Offenlegung von Sicherheitslucken aktiv zu halten.
Last updated: 2026-05-28
Einschränkungen
- security.txt ist ein vorgeschlagener Standard (RFC 9116), keine W3C-Empfehlung. Einige Organisationen kennen ihn noch nicht, und die Akzeptanz automatisierter Scanner variiert je nach Region und Branche.
- Die Datei muss ohne Umleitungen uber HTTPS bereitgestellt werden. Einige Static-Hosting-Plattformen (einschlieblich GitHub Pages) leiten /.well-known/-Pfade moglicherweise um oder liefern sie mit unerwarteten Content-Types aus.
- security.txt allein schafft kein Programm zur Offenlegung von Sicherheitslucken oder Bug Bounty. Es teilt Forschern nur mit, wo sie Meldungen einreichen konnen -- Sie benotigen weiterhin einen internen Prozess zur Bearbeitung eingehender Meldungen.
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
So nutzt du dieses Tool
- Wahlen Sie im Generierungsmodus: Geben Sie Ihre Kontakt-URL oder E-Mail ein, setzen Sie ein Ablaufdatum und fugen Sie optionale Felder hinzu.
- Im Validierungsmodus: Fugen Sie eine vorhandene security.txt-Datei ein, um sie gegen die RFC 9116-Spezifikation zu prufen.
- Stellen Sie die Datei unter /.well-known/security.txt auf Ihrer Domain bereit und servieren Sie sie uber HTTPS.
Wofür du es nutzen kannst
- Erstellen Sie eine Kontaktmoglichkeit zur Offenlegung von Sicherheitslucken fur eine Open-Source-Projektseite.
- Validieren Sie eine vorhandene security.txt, bevor Sie sie auf einer Produktionsdomain bereitstellen.
- Stellen Sie sicher, dass das Ablaufdatum nicht in der Vergangenheit liegt und das Kontaktfeld eine gultige URL oder ein gultiges E-Mail-Format verwendet.