GitHub Pages tools

Gratis security.txt Generator & Validator

Genereer en valideer security.txt-bestanden volgens RFC 9116 met hostinggids.

Tool laden...

Wat is security.txt Generator & Validator?

security.txt is een eenvoudig tekstbestand dat op /.well-known/security.txt wordt geplaatst en beveiligingsonderzoekers vertelt hoe zij u kunnen bereiken over kwetsbaarheden. Het wordt gedefinieerd door RFC 9116 en wordt ondersteund door Google, GitHub en grote platforms voor kwetsbaarheidsmeldingen. Het bestand bevat een Contact-veld (URL of e-mail), een Expires-datum en optionele velden voor Canonical, Encryption, Policy, Acknowledgments en Hiring.

Snel antwoord

security.txt is een bestand op /.well-known/security.txt dat beveiligingsonderzoekers vertelt hoe zij kwetsbaarheden aan u kunnen melden. Voeg minimaal een Contact-veld (URL of e-mail) en een Expires-datum toe. Vernieuw het bestand voordat het verloopt om uw kanaal voor kwetsbaarheidsmeldingen actief te houden.

Last updated: 2026-05-28

Beperkingen

  • security.txt is een voorgestelde standaard (RFC 9116), geen W3C-aanbeveling. Sommige organisaties zijn er nog niet van op de hoogte en de adoptie van geautomatiseerde scanners verschilt per regio en sector.
  • Het bestand moet via HTTPS zonder omleidingen worden geserveerd. Sommige statische hostingplatforms (waaronder GitHub Pages) kunnen /.well-known/ paden omleiden of met onverwachte inhoudstypen serveren.
  • security.txt alleen creëert geen programma voor kwetsbaarheidsmeldingen of bug bounty. Het vertelt onderzoekers alleen waar ze moeten melden — u heeft nog steeds een intern proces nodig om binnenkomende meldingen af te handelen.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Zo gebruik je deze tool

  1. Vul in de Genereer-modus uw contact-URL of e-mail in, stel een vervaldatum in en voeg eventuele optionele velden toe.
  2. Plak in de Valideer-modus een bestaand security.txt-bestand om het te controleren tegen de RFC 9116-specificatie.
  3. Plaats het bestand op /.well-known/security.txt op uw domein en serveer het via HTTPS.

Waarvoor je het kunt gebruiken

  • Maak een contactpersoon voor kwetsbaarheidsmeldingen voor een open-source projectsite.
  • Valideer een bestaande security.txt voordat u deze naar een productiedomein implementeert.
  • Zorg ervoor dat de Expires-datum niet in het verleden ligt en dat het Contact-veld een geldige URL of e-mail bevat.

Gebruik

Praktische voorbeelden

Voorbeeld

Beveiligingscontactpagina voor een SaaS-site

Een SaaS-bedrijf maakt een security.txt met een speciaal security@ e-mailadres en een link naar hun pagina met het beleid voor kwetsbaarheidsmeldingen. Het bestand wordt in de /.well-known/ map geplaatst en via HTTPS geserveerd.

Voorbeeld

Open-source statische site

Een open-source toolsite die op GitHub Pages wordt gehost, voegt een security.txt toe met een link naar hun GitHub Security Advisories-pagina. Het bestand bevat Preferred-Languages en een Encryption-sleutel voor PGP-versleutelde meldingen.

Veelgemaakte fouten

  • Het security.txt-bestand op de site-root plaatsen in plaats van op /.well-known/security.txt — het pad /.well-known/ is vereist volgens RFC 9116.
  • De Expires-datum laten verlopen zonder verlenging — geautomatiseerde scanners negeren verlopen security.txt-bestanden.
  • Het bestand via HTTP in plaats van HTTPS serveren — het bestand moet zonder omleidingen toegankelijk zijn via HTTPS.

Verificatie

  1. Bezoek https://uwdomein.nl/.well-known/security.txt in een browser en bevestig dat het direct via HTTPS zonder omleidingen laadt.
  2. Gebruik curl -I https://uwdomein.nl/.well-known/security.txt om te controleren of de Content-Type text/plain is en de responsstatus 200 is.

FAQ

Vragen over security.txt Generator & Validator

Waar moet ik het security.txt-bestand precies plaatsen?

Plaats het op /.well-known/security.txt — de volledige URL moet https://uwdomein.nl/.well-known/security.txt zijn. Maak voor GitHub Pages een .well-known-map aan in de hoofdmap van uw gepubliceerde site en plaats security.txt erin. Het bestand moet direct worden geserveerd, niet omgeleid.

Hoe vaak moet ik de Expires-datum vernieuwen?

RFC 9116 raadt aan de Expires-datum niet meer dan 12 maanden na de huidige datum in te stellen. Zet een kalenderherinnering om deze te vernieuwen voordat deze verloopt. Geautomatiseerde scanners en bug bounty-platforms negeren verlopen security.txt-bestanden, wat het doel van het bestand tenietdoet.

Kan ik meer dan één Contact-veld hebben?

Ja. RFC 9116 staat meerdere Contact-velden toe. Dit is handig wanneer u aparte contactpersonen voor beveiliging en misbruik heeft, of wanneer u zowel een webformulier-URL als een back-up e-mailadres wilt vermelden. Vermeld contacten in volgorde van voorkeur.

Gerelateerde tools

Meer github pages tools

Probeer ook

Probeer ook