ZenovayTools

Security.txtチェッカー

security.txtファイルをRFC 9116に対して検証します。必須フィールド(Contact、Expires)、オプショナルフィールド(Encryption、Policy、Canonical)、有効期限ステータス、HTTPSホスティングをチェックします。ヘルススコアと実行可能な推奨事項を取得できます。

Security.txtチェッカーの使い方

  1. 1ドメイン名を入力してください(例:example.com)。
  2. 2このツールは/.well-known/security.txtおよび/security.txtを取得します。
  3. 3フィールドはRFC 9116の要件に対して解析および検証されます。
  4. 4ヘルススコア、見つかった問題、および推奨事項を確認してください。
Zenovayアナリティクス

今、誰がサイトにいるかを把握。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

security.txtとは何ですか、またなぜ重要ですか?
security.txtはウェブサイトの/.well-known/security.txtに配置されたテキストファイルで、セキュリティ研究者に脆弱性を責任ある形で報告する方法を教えます。RFC 9116で標準化されており、連絡先情報、開示ポリシー、暗号化キー、および有効期限を提供します。これがないと、研究者はセキュリティチームに連絡する方法がわからず、脆弱性が報告されないまたは公開される可能性があります。
security.txtでどのようなフィールドが必須ですか?
RFC 9116は2つのフィールドを要求します:(1) Contact:少なくとも1つの連絡方法(mailto:、https://、またはtel: URI)、および(2) Expires:このファイルが古いと見なされるべきISO 8601の日時。他のすべてのフィールドはオプションですが、強く推奨されます:Encryption (PGPキーURL)、Policy (開示ポリシーURL)、Canonical (このファイルの正規URL)、Preferred-Languages、Acknowledgments、Hiring、およびCSAF。
security.txtはどこに配置すべきですか?
RFC 9116に従った推奨される場所は/.well-known/security.txt(例:https://example.com/.well-known/security.txt)です。レガシーの場所/security.txtも後方互換性のためサポートされています。ファイルはHTTPSで提供される必要があります。両方の場所が存在する場合、/.well-known/security.txtが優先されます。
security.txtはどのくらい有効であるべきですか?
RFC 9116は、Expiresフィールドを今後1年以内に設定することを推奨しています。より短い有効期限(例:90~180日)は定期的なレビューを強制し、連絡先情報を最新に保ちます。期限切れのsecurity.txtファイルはファイルが存在しないものとして扱われるため、更新の通知を設定してください。多くのチームは正確に1年に設定し、毎年更新しています。
security.txtはPGP署名されるべきですか?
PGP署名はオプションですが、高セキュリティ環境では推奨されます。署名されたsecurity.txtにより、研究者はファイルが改ざんされていないことを確認できます。ウェブサーバーを侵害した攻撃者はそれ以外の場合、security.txtを別の連絡先に置き換える可能性があります。セキュリティチームのPGPキーで署名し、Encryptionフィールドを使用して公開鍵にリンクしてください。