EdgeOps

DENOG17 Security.txt Update: 69% Adoption, ein Drittel valide und 6 mit sauberem PGP

Veröffentlicht am 23.12.2025

DENOG17 Security.txt Update: 69% Adoption, ein Drittel valide und 6 mit sauberem PGP

Nach unserem Vortrag auf der DENOG17 zum Thema security.txt haben wir eine erste Auswertung zur Verbreitung veröffentlicht. Danach haben wir wertvolles Feedback aus der Community erhalten.

Auf Basis dieses Feedbacks haben wir die Analyse noch einmal vorgenommen. Die aktualisierten Zahlen zeigen, dass Transparenz und Austausch in der Community schnell zu Verbesserungen führen können.

Testen Sie Ihre Security.txt

Prüfen Sie, ob Domains eine valide security.txt gemäß RFC 9116 implementiert haben. Nutzen Sie unseren kostenlosen Checker:

Was hat sich seit der ersten Auswertung geändert

Der aktuelle Überblick auf Basis der DENOG-Teilnehmer:

  • 69 % der Teilnehmer haben einen security.txt-Endpunkt, verglichen mit 25 % im November.
  • Davon ist etwa ein Drittel valide gemäß unserem Prüfverfahren. Im November war es noch ein Viertel.
  • 6 Organisationen liefern inzwischen ein sauberes PGP Setup , das korrekt auswertbar ist und keine Fehler enthält, was einem Anstieg um 25% entspricht.

Warum das wichtig ist

Wir verstehen security.txt nicht nur als Kontakt für Website-Schwachstellen, sondern als zentrale, standardisierte Anlaufstelle für Security-Kommunikation rund um Provider und Netzwerk-Services.

Ein Anbieter ohne klaren Security-Kontakt ist wie ein Gebäude ohne Notausgang.

Was wir prüfen

Im Checker und in dieser Auswertung konzentrieren wir uns auf die Basics:

  1. Auffindbarkeit über /.well-known/security.txt
  2. Pflichtfelder wie Contact und Expires
  3. Validität inklusive Format und Maschinenlesbarkeit
  4. Optionale Qualitätsmerkmale wie PGP, wo sinnvoll

Jetzt selbst testen

Wenn Sie eine Domain betreiben, testen Sie sie mit unserem Checker.

security.txt Checker

Enter your domain to validate its security.txt setup. The checker follows RFC 9116 and only requests /.well-known/security.txt over HTTPS/HTTP

Ausblick

Wir möchten die Auswertung regelmäßig wiederholen und die Entwicklung über Zeit beobachten. Ziel ist es, dass mehr Organisationen von einer reinen Präsenz zu validen und sauber umgesetzten Konfigurationen gelangen.

Wenn Ihre Organisation nach dem Vortrag Verbesserungen vorgenommen hat, vielen Dank. Falls nicht, bleibt dies eine der Security-Maßnahmen mit dem besten Aufwand-Nutzen-Verhältnis, die sich realistisch an einem Nachmittag umsetzen lassen.

Vielen Dank an die DENOG Community für das direkte Feedback, das uns geholfen hat, die Methodik zu verbessern.