SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand
De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat een financiële korting geven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt. Met deze regeling wil SIDN de adoptie van security.txt ondersteunen. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden.
Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.
"In de tweede helft van dit jaar beginnen we met de implementatie van de incentive en het promoten van security.txt", zegt Alfredo Garcia Frias, relatiemanager bij SIDN. "De infrastructuur voor de nieuwe incentive-regeling is er al: Labs kan voor elk .nl-domein zien of security.txt beschikbaar is en wat daarin zit." Op dit moment werkt SIDN de details van de regeling uit, zoals hoeveel korting er wordt gegeven.
Het gebruik van security.txt wordt toegevoegd aan de Registrar Scorecard, een programma dat .nl-registrars beloont voor hun bijdragen aan de kwaliteit van de .nl-zone. De Registrar Scorecard moet registrars stimuleren om op verschillende gebieden verbeteringen door te voeren. Het gaat dan bijvoorbeeld om het gebruik van STARTTLS, SPF, DKIM en DMARC.
Dat kunnen we testen. Een security.txt bestand neer zetten gevuld met:
"Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum."
Kijken of we korting krijgen
Contact: mailto: email@site.nl
Expires: 2024-12-31T23:00:00.000Z
Encryption: https://www.site.nl/.well-known/public-key.txt
Acknowledgments: https://www.site.nl/.well-known/hall-of-fame.txt
Preferred-Languages: en, nl
Canonical: https://www.site.nl/.well-known/security.txt
korting of geld mee te verdienen en plosteling wordt iedereen wel getriggerd
Dat kunnen we testen. Een security.txt bestand neer zetten gevuld met:
"Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum."
Kijken of we korting krijgen
Dat gaat natuurlijk niet werken verkeerde opmaak en bovendien moet het bestand digitaal ondertekend zijn.
https://securitytxt.org/
Anders zie ik weer een lekker verdien, marketing model verschijnen.
Zeker met het oog op dat je dit geautomatiseerd kan implementeren over een poosje op meeste platforms.
Bedoel .nl domeinen is nu al absurde marges in. Single koop je ze in voor 3,48 per maand met 69,67 euro per maand aan registrar bijdrage ongeacht inkoop. Vervolgens verkoop je het door voor 10 tot 22 euro per stuk in sommige gevallen per domein na eerste jaar lokkertje. van eurootje wetende dat de domeinen vaak nooit meer gestopt worden van particulieren zzpers en grotere bedrijven vaak minimaal voor 3 tot vijf jaar blijven wegens investeringen en het gezeik om migraties heen.
Nu zou je daar een verkapte korting actie van kunnen maken simpelweg door je kosten weer uit de security.txt implementatie te halen. En ik zie ook genoeg bedrijven die het nog bonter gaan maken als een soort premium service voor implementatie richting klanten en vervolgens twee keer betaald krijgen Één door de houder en twee door SIDN middels de korting.
Dat gaat natuurlijk niet werken verkeerde opmaak en bovendien moet het bestand digitaal ondertekend zijn.
https://securitytxt.org/
95% van de websites voldoet daar niet aan :-)
Ironisch genoeg betekend dat dus nu een stop op invoer van verdere security.txt hier tot we weten hoe de korting is geregeld Omdat als het rechtstreeks naar de klant gaat (wat zou moeten imho) wil je niet dat je discussies gaat krijgen waarom branche genoot X wel korting geniet en branche genoot Y niet. En als het wel naar de registrar vloeit moeten we opnieuw onderhandelen als groot afnemer.
Hoe dan ook het is op zich geen slecht idee geld is een goede motivator in deze sector. Maar ik ben ook van mening dat we dan meteen ook boetes moeten invoeren voor A niet op tijd reageren op abuse meldingen en B op niet leveren van EPPs binnen wettelijk gestelde tijd van 5 dagen. Sommige partijen maken het namelijk zeer bont op dat gebied.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
