Le fichier security.txt

Les années passent, et les procédures de sécurité également. Depuis que je me suis remis à la SSI, je découvre que certaines méthodes que j’utilisais sont devenues obsolètes, telles que le Certficate-Pinning, déprécié au profit de l’entête HTTP Expect-CT (Je n’ai trouvé que des drafts de la spécification sur le site de l’IETF, désolé).

Je tiens à remercier Y0no pour la rédaction de son article sur le fichier security.txt, ce qui m’a permis d’en découvrir l’existence et de l’implémenter ce matin sur mon site.

C’est simple, c’est efficace. Un simple fichier texte, signé ou non avec PGP (Google, manifestement, n’a pas signé le sien), et qui rappelle les différents liens et contacts utiles en cas de faille sécurité à remonter aux détenteurs du site. Tout est expliqué ici, et côté RFC, le draft (encore!) se trouve .

De nombreux sites « sérieux » l’ont implémenté, mais ce n’est pas le cas de tous, car encore faut-il que les webmasters desdits sites en aient pris connaissance. Testez vous-même en ajoutant le suffixe .well-known/security.txt aux sites sur lesquels vous avez l’habitude l’aller, vous verrez bien.

Ce fichier est déposé dans le sous-répertoire racine .well-known, normalisé d’après la RFC 8615 (Stéphane Bortzmeyer fait toujours d’aussi bons résumés des RFC, au passage), et s’appelle simplement security.txt. Vous pouvez consulter le mien si cela vous chante.

Si vous voulez faire de même pour votre site, rien de plus simple :

1. créez votre fichier texte security.txt et placez-y les liens et adresses de courriel associées.

2. signez-le (pour rappel, avec gpg --clearsign security.txt)

3. si cela n’est pas déjà fait, créez à la racine de votre site un répertoire .well-known.

4. publiez le fichier signé sur votre site, dans le sous-répertoire susmentionné.

Voilà, vous êtes à la page!

1 Comment »

Bruno Kerouanton on août 11th 2020 in IT Security

One Response to “Le fichier security.txt”

  1. Bruno Kerouanton » Les schémas URI responded on 12 Août 2020 at 11:18 #

    […] j’ai créé mon fichier security.txt, je me suis demandé si il était possible de mentionner dans le champ « Contact » autre chose […]

Trackback URI | Comments RSS

Laisser un commentaire