security.txt für Caddy einrichten

security.txt auf Caddy bereitstellen: handle-Block mit respond-Direktive für Reverse-Proxy-Setups oder file_server für statische Variante.

security.txt prüfen Plattform entdecken
Caddy · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 26. März 2026

security.txt auf Caddy

Caddy bietet die einfachste Konfiguration für eine security.txt nach RFC 9116. Bei statischen Sites liefert der file_server die Datei automatisch aus dem Webroot aus. Bei Reverse-Proxy-Setups fängt ein handle-Block den Request vor dem reverse_proxy ab und antwortet mit der respond-Direktive — ohne die Anfrage an das Backend weiterzuleiten.

Bei file_server-Setups mit Webroot liefert Caddy statische Dateien automatisch aus. Die respond-Variante ist ideal für Reverse-Proxy-Konfigurationen ohne Webroot. security.txt bringt 2 von 166 Punkten im Wolf-Agents Web Security Check.

Ausführliche Einführung in security.txt

1 Option 1 · respond-Direktive

respond-Direktive (Reverse-Proxy-Setup)

Bei Reverse-Proxy-Setups ohne Webroot liefern Sie die security.txt direkt per respond-Direktive aus dem Caddyfile aus. Der handle-Block wird vor dem reverse_proxy ausgewertet.

Caddyfile respond 
# Caddyfile
ihre-domain.de {
    handle /.well-known/security.txt {
        header Content-Type "text/plain; charset=utf-8"
        respond "Contact: mailto:security@ihre-domain.de
Expires: 2026-12-31T23:59:59.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt"
    }

    reverse_proxy localhost:3000
}
Reihenfolge beachten

Der handle-Block muss vor dem reverse_proxy stehen. Caddy wertet handle-Blöcke nach Spezifität aus — der spezifischere Pfad hat Vorrang.

2 Option 2 · Statische Datei

Statische Datei mit file_server

Wenn Sie einen Webroot mit file_server nutzen, legen Sie die Datei einfach unter <root>/.well-known/security.txt ab. Caddy liefert sie automatisch mit korrektem Content-Type aus.

<root>/.well-known/security.txt 
Contact: mailto:security@ihre-domain.de
Expires: 2026-12-31T23:59:59.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
Bei file_server erkennt Caddy die .txt-Endung und setzt den Content-Type automatisch auf text/plain.

Konfiguration laden und verifizieren

Terminal 
# Caddy neu laden
caddy reload --config /etc/caddy/Caddyfile

# Header prüfen
curl -I https://ihre-domain.de/.well-known/security.txt

# Inhalt anzeigen
curl https://ihre-domain.de/.well-known/security.txt

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpress

Wie steht Ihre Domain bei security.txt?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

respond oder file_server — was ist besser?

Die respond-Direktive ist ideal für Reverse-Proxy-Setups, da keine statische Datei benötigt wird. file_server ist einfacher, wenn Sie bereits einen Webroot mit statischen Dateien haben.

Muss ich den Content-Type manuell setzen?

Bei respond ja — die Direktive setzt standardmäßig text/plain ohne charset. Der explizite header-Block stellt charset=utf-8 sicher. Bei file_server erkennt Caddy die .txt-Endung automatisch.

Wird der handle-Block vor dem reverse_proxy ausgewertet?

Ja. Caddy wertet handle-Blöcke in der Reihenfolge der Spezifität aus. Ein handle für /.well-known/security.txt wird vor dem allgemeinen reverse_proxy-Block verarbeitet.