Nieuws

SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand

donderdag 14 maart 2024, 14:06 door Redactie, 14 reacties

Laatst bijgewerkt: 14-03-2024, 16:50

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, gaat een financiële korting geven op domeinnamen waarvan de website een geldig en bruikbaar security.txt-bestand aanbiedt. Met deze regeling wil SIDN de adoptie van security.txt ondersteunen. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.

"In de tweede helft van dit jaar beginnen we met de implementatie van de incentive en het promoten van security.txt", zegt Alfredo Garcia Frias, relatiemanager bij SIDN. "De infrastructuur voor de nieuwe incentive-regeling is er al: Labs kan voor elk .nl-domein zien of security.txt beschikbaar is en wat daarin zit." Op dit moment werkt SIDN de details van de regeling uit, zoals hoeveel korting er wordt gegeven.

Het gebruik van security.txt wordt toegevoegd aan de Registrar Scorecard, een programma dat .nl-registrars beloont voor hun bijdragen aan de kwaliteit van de .nl-zone. De Registrar Scorecard moet registrars stimuleren om op verschillende gebieden verbeteringen door te voeren. Het gaat dan bijvoorbeeld om het gebruik van STARTTLS, SPF, DKIM en DMARC.

Nissan waarschuwt 100.000 mensen voor datalek door ransomware-aanval

Amerikaanse dna-onderzoeker manipuleerde resultaten in honderden zaken

Reacties (14)

Reageer met quote

14-03-2024, 14:14 door Anoniem

En om deze korting te financieren zullen de persoonsgegevens van alle domeinhouders overgedragen worden aan Amazon?

Reageer met quote

14-03-2024, 15:01 door Anoniem

Door Anoniem: En om deze korting te financieren zullen de persoonsgegevens van alle domeinhouders overgedragen worden aan Amazon?

Lijkt het wel op...

Reageer met quote

14-03-2024, 15:31 door Anoniem

Wie en hoe gaan ze dit controleren? Elke maand een check op 20 miljoen domeinnamen? En hoe gaat men aan een leek uitleggen hoe dit moet?

Reageer met quote

14-03-2024, 16:03 door _R0N_

Door Anoniem: Wie en hoe gaan ze dit controleren? Elke maand een check op 20 miljoen domeinnamen? En hoe gaat men aan een leek uitleggen hoe dit moet?

Dat kunnen we testen. Een security.txt bestand neer zetten gevuld met:

"Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum."

Kijken of we korting krijgen

Reageer met quote

14-03-2024, 16:12 door Anoniem

als je al een public /.well-known/security.txt kunt binnenhalen dan kun je ook makkelijk de overige zaken op aanwezigheid checken, docu genoeg over dit topic als je beetje je site gehardened hebt

Contact: mailto: email@site.nl
Expires: 2024-12-31T23:00:00.000Z
Encryption: https://www.site.nl/.well-known/public-key.txt
Acknowledgments: https://www.site.nl/.well-known/hall-of-fame.txt
Preferred-Languages: en, nl
Canonical: https://www.site.nl/.well-known/security.txt

korting of geld mee te verdienen en plosteling wordt iedereen wel getriggerd

Reageer met quote

14-03-2024, 16:19 door Anoniem

Door _R0N_:

Door Anoniem: Wie en hoe gaan ze dit controleren? Elke maand een check op 20 miljoen domeinnamen? En hoe gaat men aan een leek uitleggen hoe dit moet?

Dat gaat natuurlijk niet werken verkeerde opmaak en bovendien moet het bestand digitaal ondertekend zijn.
https://securitytxt.org/

Reageer met quote

14-03-2024, 16:44 door Anoniem

De vraag is natuurlijk gaat het hier om een directe korting richting de houder of korting richting de registrar. Want de registratie gebeurt vaak door de registrar namens een houder. Worden registrars in dat geval verplicht om de korting door te berekenen of is het zo systeem als thuisbezorgd heeft waar je fooi kan aangeven maar het aan het restaurant is om ook werkelijk die fooi te geven en niet verplicht er tot is gesteldt. (spoiler meeste restaurants rekenen het tot hun winst)

Anders zie ik weer een lekker verdien, marketing model verschijnen.
Zeker met het oog op dat je dit geautomatiseerd kan implementeren over een poosje op meeste platforms.

Bedoel .nl domeinen is nu al absurde marges in. Single koop je ze in voor 3,48 per maand met 69,67 euro per maand aan registrar bijdrage ongeacht inkoop. Vervolgens verkoop je het door voor 10 tot 22 euro per stuk in sommige gevallen per domein na eerste jaar lokkertje. van eurootje wetende dat de domeinen vaak nooit meer gestopt worden van particulieren zzpers en grotere bedrijven vaak minimaal voor 3 tot vijf jaar blijven wegens investeringen en het gezeik om migraties heen.

Nu zou je daar een verkapte korting actie van kunnen maken simpelweg door je kosten weer uit de security.txt implementatie te halen. En ik zie ook genoeg bedrijven die het nog bonter gaan maken als een soort premium service voor implementatie richting klanten en vervolgens twee keer betaald krijgen Één door de houder en twee door SIDN middels de korting.

Reageer met quote

14-03-2024, 18:40 door Anoniem

Door Anoniem:
Dat gaat natuurlijk niet werken verkeerde opmaak en bovendien moet het bestand digitaal ondertekend zijn.
https://securitytxt.org/

Jammer dat je de link zelf niet hebt gelezen(/begrepen):

You are ready to go! Publish your security.txt file. If you want to give security researchers confidence that your security.txt file is authentic, and not planted by an attacker, consider digitally signing the file with an OpenPGP cleartext signature.

https://www.rfc-editor.org/rfc/rfc9116#name-digital-signature

It is RECOMMENDED that a "security.txt" file be digitally signed using an OpenPGP cleartext signature as described in Section 7 of [RFC4880].[/url]

Reageer met quote

14-03-2024, 20:56 door Anoniem

SIDN ontvangt volgens de eigen website €4,15 ex. btw per jaar voor een domeinregistratie. De registrars gooien daar natuurlijk wel wat bovenop, maar ik denk dat een korting erop geven meer effect heeft omdat het de aandacht erop vestigt dan dat het werkelijk een financiële "incentive" is, zoals ze het zelf kennelijk graag noemen.

Reageer met quote

15-03-2024, 09:35 door Ron625 - Bijgewerkt: 15-03-2024, 09:35

Door Anoniem: als je al een public /.well-known/security.txt kunt binnenhalen dan kun je ook makkelijk de overige zaken op aanwezigheid checken,

Zoals correct gebruik van HTML.
95% van de websites voldoet daar niet aan :-)

Reageer met quote

15-03-2024, 10:28 door Anoniem

Door Anoniem: SIDN ontvangt volgens de eigen website €4,15 ex. btw per jaar voor een domeinregistratie. De registrars gooien daar natuurlijk wel wat bovenop, maar ik denk dat een korting erop geven meer effect heeft omdat het de aandacht erop vestigt dan dat het werkelijk een financiële "incentive" is, zoals ze het zelf kennelijk graag noemen.

Dat ligt eraan wij kopen ze in bulk in voor net onder 3 euro per jaar per stuk. Verkopen ze voor 12,50 per jaar en eerste jaar gratis bij afname van ook hosting voor minimaal 1 jaar. Al zit er maar paar cent op dat scheelt enorm in marges op grote aantallen zolang het inregelen niet moeilijk is.

Ironisch genoeg betekend dat dus nu een stop op invoer van verdere security.txt hier tot we weten hoe de korting is geregeld Omdat als het rechtstreeks naar de klant gaat (wat zou moeten imho) wil je niet dat je discussies gaat krijgen waarom branche genoot X wel korting geniet en branche genoot Y niet. En als het wel naar de registrar vloeit moeten we opnieuw onderhandelen als groot afnemer.

Hoe dan ook het is op zich geen slecht idee geld is een goede motivator in deze sector. Maar ik ben ook van mening dat we dan meteen ook boetes moeten invoeren voor A niet op tijd reageren op abuse meldingen en B op niet leveren van EPPs binnen wettelijk gestelde tijd van 5 dagen. Sommige partijen maken het namelijk zeer bont op dat gebied.

Reageer met quote

15-03-2024, 10:28 door Anoniem

Bots vissen de hele tijd naar dit soort files en krijgen direct een ban. Er is een info@ alias en de websites zijn allemaal blogs. Als je moeite hebt met melden zit je als onderzoeker in het verkeerde vak.

Reageer met quote

16-03-2024, 22:50 door Anoniem

Door Anoniem: En om deze korting te financieren zullen de persoonsgegevens van alle domeinhouders overgedragen worden aan Amazon?

Volgens SIDN hadden ze een zorgvuldige afweging gemaakt, wel GDPR en ISO 27001 etc, maar de CLOUD ACT is even vergeten.

Reageer met quote

18-03-2024, 19:33 door Anoniem

Iedereen gaat wel hard op deze 1 april grap die op tijd is voorbereid... :)

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Vacature

Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime

Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!

Lees meer

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Cyber Security Trainer

"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”

Are you ready for a challenge?

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

SIDN gaat korting geven op domeinnamen met geldig security.txt-bestand

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Rijksoverheid moet onmiddellijk stoppen met Facebook na advies AP:

Wachtwoord Vergeten

Password Reset

Registreren