Stichting Internet Domeinregistratie Nederland (SIDN) gaat registrars korting geven op domeinnamen van websites die een geldig security.txt-bestand hebben. Met die actie hoopt de non-profitorganisatie de invoering van dat beveiligingsprotocol te versnellen. Op dit moment is slechts 2,2 procent van alle nl-webdomeinen hiervan voorzien.
Security.txt bestaat uit een relatief eenvoudig tekstbestand dat aan het webdomein is gekoppeld. Daarin delen organisaties hun responsible disclosure-beleid en communiceren ze een lijst met contactpersonen. Bij een cyberincident is dan voor een melder meteen duidelijk waar het beveiligingslek is te melden. Partijen zoals het Digital Trust Center (DTC) hebben vaak veel moeite met het vinden van de juiste ingangen bij individuele bedrijven als ze een kwetsbaar of gecompromitteerd systeem aantreffen.
De maatregel zal naar verwachting vanaf de eerste helft van 2025 ingaan. Met deze zogenoemde ‘incentive-regeling’ ondersteunt SIDN het stimuleringsproject van de Vereniging van Registrars (VvR) voor de adoptie van security.txt.
Alfredo Garcia Frias, relatiemanager bij SIDN, licht toe dat in de tweede helft van dit jaar begonnen wordt met de implementatie van de incentive en het promoten van security.txt. ‘De infrastructuur ervoor is er al: SIDN Labs kan voor elk nl-domein zien of security.txt beschikbaar is en wat daarin zit.’ De uitbreiding van de applicatie vraagt nog wel behoorlijk wat werk. ‘Op dit moment werken we ook de details van de regeling zelf uit: wat willen we precies met hoeveel korting belonen?’
Projectleider van de VvR, Daniël Federer, zegt over het lage percentage van de nl-webdomeinen dat security.txt- heeft geïmplementeerd: ‘We weten van open standaarden dat een kritieke massa nodig is om het gebruik op gang te brengen. De incentive-regeling van SIDN is bedoeld als tijdelijke maatregel om de adoptie over die eerste drempel heen te tillen.’
‘Pas toe of leg uit’
Volgens de DTC is in de Verenigde Staten en Duitsland de adoptie van security.txt ‘aanzienlijk hoger’ dan in Nederland. De organisatie verwacht echter een inhaalslag. ‘Nu security.txt op de ‘Pas-toe-of-leg-uit’-lijst staat, zullen domeinaanbieders die aan overheden leveren deze standaard sowieso moeten ondersteunen’, aldus Kim van der Veen, projectleider van de DTC Notificatiedienst.
In een artikel deelt ISDN meer informatie over security.txt, zoals regelingen, trainingsmateriaal en voorbeelden van kwetsbaarheden die door gebruik van het protocol bij de juiste personen zijn gemeld.
