GitHub-Pages-Tools

Kostenlose security.txt Generator & Validator

Erstelle und validiere security.txt-Dateien nach RFC 9116 mit Hosting-Anleitung.

Tool wird geladen...

Was ist security.txt Generator & Validator?

security.txt ist eine einfache Textdatei, die unter /.well-known/security.txt veroffentlicht wird und Sicherheitsforschern mitteilt, wie sie Sie bezuglich Sicherheitslucken kontaktieren konnen. Es wird durch RFC 9116 definiert und von Google, GitHub und wichtigen Plattformen zur Offenlegung von Sicherheitslucken unterstutzt. Die Datei enthalt ein Kontaktfeld (URL oder E-Mail), ein Ablaufdatum (Expires) sowie optionale Felder fur Canonical, Encryption, Policy, Acknowledgments und Hiring.

Kurze Antwort

security.txt ist eine Datei unter /.well-known/security.txt, die Sicherheitsforschern mitteilt, wie sie Sicherheitslucken an Sie melden konnen. Mindestens mussen Sie ein Kontaktfeld (URL oder E-Mail) und ein Ablaufdatum (Expires) angeben. Verlangern Sie die Datei vor Ablauf, um Ihren Kanal zur Offenlegung von Sicherheitslucken aktiv zu halten.

Last updated: 2026-05-28

Einschränkungen

  • security.txt ist ein vorgeschlagener Standard (RFC 9116), keine W3C-Empfehlung. Einige Organisationen kennen ihn noch nicht, und die Akzeptanz automatisierter Scanner variiert je nach Region und Branche.
  • Die Datei muss ohne Umleitungen uber HTTPS bereitgestellt werden. Einige Static-Hosting-Plattformen (einschlieblich GitHub Pages) leiten /.well-known/-Pfade moglicherweise um oder liefern sie mit unerwarteten Content-Types aus.
  • security.txt allein schafft kein Programm zur Offenlegung von Sicherheitslucken oder Bug Bounty. Es teilt Forschern nur mit, wo sie Meldungen einreichen konnen -- Sie benotigen weiterhin einen internen Prozess zur Bearbeitung eingehender Meldungen.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

So nutzt du dieses Tool

  1. Wahlen Sie im Generierungsmodus: Geben Sie Ihre Kontakt-URL oder E-Mail ein, setzen Sie ein Ablaufdatum und fugen Sie optionale Felder hinzu.
  2. Im Validierungsmodus: Fugen Sie eine vorhandene security.txt-Datei ein, um sie gegen die RFC 9116-Spezifikation zu prufen.
  3. Stellen Sie die Datei unter /.well-known/security.txt auf Ihrer Domain bereit und servieren Sie sie uber HTTPS.

Wofür du es nutzen kannst

  • Erstellen Sie eine Kontaktmoglichkeit zur Offenlegung von Sicherheitslucken fur eine Open-Source-Projektseite.
  • Validieren Sie eine vorhandene security.txt, bevor Sie sie auf einer Produktionsdomain bereitstellen.
  • Stellen Sie sicher, dass das Ablaufdatum nicht in der Vergangenheit liegt und das Kontaktfeld eine gultige URL oder ein gultiges E-Mail-Format verwendet.

Anwendungsfalle

Praxisbeispiele

Beispiel

Sicherheitskontaktseite fur eine SaaS-Seite

Ein SaaS-Unternehmen erstellt eine security.txt mit einer dedizierten security@-E-Mail und einem Link zur Seite mit der Richtlinie zur Offenlegung von Sicherheitslucken. Die Datei wird im /.well-known/-Verzeichnis platziert und uber HTTPS bereitgestellt.

Beispiel

Open-Source-Statikseite

Eine auf GitHub Pages gehostete Open-Source-Toolseite fugt eine security.txt mit einem Link zu ihrer GitHub Security Advisories-Seite hinzu. Die Datei enthalt Preferred-Languages und einen Encryption-Schlussel fur PGP-verschlusselte Meldungen.

Haufige Fehler

  • Die security.txt im Site-Root statt unter /.well-known/security.txt zu platzieren -- der /.well-known/-Pfad wird von RFC 9116 gefordert.
  • Das Ablaufdatum ohne Verlangerung verstreichen zu lassen -- automatisierte Scanner ignorieren abgelaufene security.txt-Dateien.
  • Die Datei uber HTTP statt HTTPS auszuliefern -- die Datei muss ohne Umleitungen uber HTTPS erreichbar sein.

Überprüfung

  1. Rufen Sie https://ihredomain.com/.well-known/security.txt in einem Browser auf und bestatigen Sie, dass die Datei direkt uber HTTPS ohne Umleitungen geladen wird.
  2. Verwenden Sie curl -I https://ihredomain.com/.well-known/security.txt, um zu uberprufen, ob der Content-Type text/plain und der Antwortstatus 200 ist.

FAQ

Fragen zu security.txt Generator & Validator

Wo genau soll ich die security.txt-Datei platzieren?

Platzieren Sie sie unter /.well-known/security.txt -- die vollstandige URL sollte https://ihredomain.com/.well-known/security.txt lauten. Erstellen Sie fur GitHub Pages ein .well-known-Verzeichnis im Root Ihrer veroffentlichten Site und legen Sie security.txt darin ab. Die Datei muss direkt, ohne Umleitung, ausgeliefert werden.

Wie oft sollte ich das Ablaufdatum verlangern?

RFC 9116 empfiehlt, das Ablaufdatum auf hochstens 12 Monate ab dem aktuellen Datum zu setzen. Richten Sie eine Kalendererinnerung ein, um es vor Ablauf zu verlangern. Automatisierte Scanner und Bug-Bounty-Plattformen ignorieren abgelaufene security.txt-Dateien, was den Zweck einer solchen Datei zunichtemacht.

Kann ich mehr als ein Kontaktfeld haben?

Ja. RFC 9116 erlaubt mehrere Kontaktfelder. Dies ist nutzlich, wenn Sie separate Sicherheits- und Missbrauchskontakte haben oder sowohl eine Webformular-URL als auch eine Backup-E-Mail-Adresse angeben mochten. Listen Sie die Kontakte in der Reihenfolge ihrer Prioritat.

Verwandte Tools

Weitere github-pages-tools

Auch ausprobieren

Auch ausprobieren