ZenovayTools

Verificador de Security.txt

Valide seu arquivo security.txt contra RFC 9116. Verifica campos obrigatórios (Contact, Expires), campos opcionais (Encryption, Policy, Canonical), status de expiração e hospedagem HTTPS. Obtenha uma pontuação de saúde e recomendações acionáveis.

Como Usar Verificador de Security.txt

  1. 1Digite um nome de domínio (por exemplo, example.com).
  2. 2A ferramenta busca /.well-known/security.txt e /security.txt.
  3. 3Os campos são analisados e validados contra os requisitos RFC 9116.
  4. 4Revise a pontuação de saúde, quaisquer problemas encontrados e recomendações.
ZenovayAnalytics

Veja quem está no seu site agora mesmo.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.
Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.
Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.
Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

O que é security.txt e por que é importante?
security.txt é um arquivo de texto colocado em /.well-known/security.txt em um site que informa aos pesquisadores de segurança como divulgar vulnerabilidades de forma responsável. Padronizado no RFC 9116, fornece informações de contato, política de divulgação, chaves de criptografia e uma data de expiração. Sem ele, os pesquisadores podem não saber como relatar uma vulnerabilidade.
Quais campos são obrigatórios no security.txt?
O RFC 9116 requer dois campos: (1) Contact: pelo menos um método de contato (mailto:, https:// ou URI tel:) e (2) Expires: uma data/hora ISO 8601 indicando quando este arquivo deve ser considerado obsoleto. Todos os outros campos são opcionais, mas fortemente recomendados: Encryption (URL de chave PGP), Policy (URL de política de divulgação), Acknowledgments (URL de agradecimentos).
Onde o security.txt deve ser colocado?
O local preferido pelo RFC 9116 é /.well-known/security.txt (por exemplo, https://example.com/.well-known/security.txt). O local legado /security.txt também é suportado para compatibilidade com versões anteriores. O arquivo deve ser servido por HTTPS.
Por quanto tempo o security.txt deve ser válido?
O RFC 9116 recomenda definir o campo Expires para no máximo um ano no futuro. Uma validade mais curta (por exemplo, 90-180 dias) força revisão regular e garante que as informações de contato permaneçam atuais. Arquivos security.txt expirados são tratados como se nenhum arquivo existisse.
O security.txt deve ser assinado por PGP?
A assinatura PGP é opcional, mas recomendada para ambientes de alta segurança. Um security.txt assinado permite que pesquisadores verifiquem se o arquivo não foi adulterado — um atacante que comprometesse seu servidor web poderia substituir seu security.txt por um endereço de contato diferente. Assine com a mesma chave PGP listada no campo Encryption.