ZenovayTools

Verificador de Security.txt

Valida tu archivo security.txt contra RFC 9116. Verifica campos requeridos (Contact, Expires), campos opcionales (Encryption, Policy, Canonical), estado de vencimiento y alojamiento HTTPS. Obtén una puntuación de salud y recomendaciones accionables.

Cómo usar Verificador de Security.txt

  1. 1Ingresa un nombre de dominio (p. ej., example.com).
  2. 2La herramienta obtiene /.well-known/security.txt y /security.txt.
  3. 3Los campos se analizan y validan contra los requisitos de RFC 9116.
  4. 4Revisa la puntuación de salud, cualquier problema encontrado y las recomendaciones.
ZenovayAnalytics

Ve quién está en tu sitio ahora mismo.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué es security.txt y por qué importa?
security.txt es un archivo de texto ubicado en /.well-known/security.txt de un sitio web que indica a los investigadores de seguridad cómo revelar responsablemente las vulnerabilidades. Estandarizado en el RFC 9116, proporciona información de contacto, política de divulgación, claves de cifrado y una fecha de caducidad. Sin él, los investigadores pueden no saber cómo contactar con su equipo de seguridad, lo que podría dejar vulnerabilidades sin notificar o divulgadas públicamente.
¿Qué campos son obligatorios en security.txt?
El RFC 9116 requiere dos campos: (1) Contact: al menos un método de contacto (URI mailto:, https: o tel:) y (2) Expires: una fecha/hora en formato ISO 8601 indicando cuándo este archivo debe considerarse obsoleto. Todos los demás campos son opcionales pero muy recomendados: Encryption (URL de clave PGP), Policy (URL de política de divulgación), Canonical (URL canónica de este archivo), Preferred-Languages, Acknowledgments, Hiring y CSAF.
¿Dónde debe colocarse security.txt?
La ubicación preferida según el RFC 9116 es /.well-known/security.txt (p. ej., https://example.com/.well-known/security.txt). La ubicación heredada /security.txt también se admite por compatibilidad con versiones anteriores. El archivo debe servirse por HTTPS. Si existen ambas ubicaciones, /.well-known/security.txt tiene prioridad.
¿Cuánto tiempo debe ser válido security.txt?
El RFC 9116 recomienda establecer el campo Expires a no más de un año en el futuro. Una validez más corta (p. ej., 90-180 días) fuerza una revisión regular y garantiza que la información de contacto se mantiene actualizada. Los archivos security.txt caducados se tratan como si no existieran, así que configure recordatorios para renovarlos.
¿Debe estar firmado con PGP el security.txt?
La firma PGP es opcional pero recomendada para entornos de alta seguridad. Un security.txt firmado permite a los investigadores verificar que el archivo no ha sido manipulado: un atacante que comprometa su servidor web podría sustituir su security.txt por una dirección de contacto diferente. Fírmelo con la clave PGP de su equipo de seguridad y enlace a la clave pública usando el campo Encryption.