Security.txt - vastgelegd in RFC 9116 - is een relatief eenvoudige, maar zeer effectieve open standaard. Deze stelt organisaties in staat om duidelijk kenbaar te maken hoe beveiligingsonderzoekers kwetsbaarheden kunnen melden.
Daarmee wordt de drempel verlaagd om ‘responsible disclosure’ toe te passen. Dit voorkomt dat meldingen blijven liggen of via onduidelijke routes verlopen. In de praktijk blijkt dat de aanwezigheid van security.txt bijdraagt aan een snellere afhandeling van kwetsbaarheden en het voorkomen van incidenten.
2023: Vereniging van Registrars besluit adoptie te bevorderen
Voor registrars en hostingproviders begint de implementatie met integratie in het provisioningproces van domeinnamen en hosting. De adoptie van security.txt valt of staat daardoor met de manier waarop deze standaard technisch is ingebed in beheertools.
Aan de start van het project in 2023 besloot de Verenging van Registrars (VvR) de adoptie van security.txt te bevorderen door haar achterban te faciliteren in het verder automatiseren van security.txt. Zo zou het eenvoudiger worden de standaard toe te passen.
Samenwerking met toeleveranciers en overheid
De VvR zocht samenwerking met de belangrijkste toeleveranciers van de .nl-registrars, om ervoor te zorgen dat de security.txt-standaard aanstond in de veelgebruikte control panels.
Daarnaast overlegde de VvR af met de beveiligingscommunity en de overheid. Security.txt is als open standaard namelijk opgenomen in de pas-toe-of-leg-uit lijst, de lijst met internetstandaarden waaraan overheidswebsites moeten voldoen.
Tot slot was het plan om een Wordpress-plugin te ontwikkelen om zo een laagdrempelig alternatief te bieden op een veelgebruikt CMS-platform.
Rol van de .nl-registrars
Bij vrijwel alle open standaarden, specifiek DNSSEC en de e-mailstandaarden als DKIM en DMARC, speelden registrars een belangrijke rol in de adoptie daarvan. Door te automatiseren en implementeren, worden open standaarden ‘by default’ toegepast.
Naast de domeinnaam, DNS en e-mail, spelen registrars in veel gevallen ook een rol bij de hosting en de keuze voor het onderliggende CMS-platform. Hierdoor konden de VvR en haar achterban ook van grote waarde zijn bij de verdere adoptie van security.txt.
Resultaten in 2025
Dankzij samenwerking tussen de VvR en softwareleveranciers is security.txt in 2025 inmiddels ‘native’ beschikbaar in DirectAdmin en Plesk. Hierdoor kunnen registrars eenvoudig security.txt toevoegen.
Voor eindgebruikers die een WordPress-website beheren, is het eveneens eenvoudig geworden. De VvR heeft een eigen WordPress-plugin ontwikkeld, waarmee via het dashboard in enkele klikken een geldig security.txt-bestand aangemaakt kan worden. Daarmee is het ook voor kleinere organisaties of individuele websitebeheerders haalbaar om aan de standaard te voldoen.
De werking van security.txt kan eenvoudig gecontroleerd worden via internet.nl, een initiatief van Forum Standaardisatie. Hier kunnen organisaties toetsen of hun domeinnaam voldoet aan open internetstandaarden, waaronder de implementatie van security.txt.
De rol van de Vereniging van Registrars
De VvR heeft op drie fronten bijgedragen aan de adoptie van security.txt:
• Tooling en integratie: De VvR is in gesprek gegaan met leveranciers zoals DirectAdmin en Plesk om ondersteuning voor security.txt toe te voegen. Daarnaast is een WordPress-plugin ontwikkeld voor eindgebruikers.
• Kennisdeling: Via e-learnings (onder andere via SIDN Academy) deelt de VvR kennis met haar leden. Door ervaringen uit te wisselen, versnelt de adoptie en worden fouten voorkomen.
• Incentives: Samen met SIDN en andere registries heeft de VvR een incentiveprogramma opgezet . Per geïmplementeerde open standaard ontvangen registrars een kickback, bedoeld om opstartkosten te compenseren en adoptie te bevorderen. Zodra een standaard gemeengoed is, vervalt de incentive of wordt deze als voorwaarde voor andere programma's gesteld.
Wat werkt (en wat niet)?
Uit de praktijk blijkt dat verplichtingen – zoals de pas-toe-of-leg-uit lijst voor overheden – en marktprikkels zoals het aangescherpte e-mailbeleid van Google, een directe impact hebben op adoptie. Wanneer de markt vraagt om standaarden, komt de beweging vanzelf op gang.
Tegelijkertijd is het cruciaal dat implementatie eenvoudig is. Native integratie in beheersoftware verlaagt de drempel aanzienlijk. De beschikbaarheid van duidelijke validatietools, zoals internet.nl, helpt om bewustzijn te vergroten en resultaten inzichtelijk te maken. Tot slot blijken ook incentives een effectief instrument om de eerste stap aantrekkelijker te maken voor registrars.
Dit is een gescout project. We steunen projecten met potentie, zodat de ontwikkelde tool of oplossing breed ingezet of geadopteerd kan worden. Gescoute projecten zijn projecten die alleen op uitnodiging bij ons kunnen aanvragen.