security.txt auf Strato einrichten
security.txt nach RFC 9116 auf Ihrem Strato Webhosting — Datei erstellen, per FTP hochladen und Erreichbarkeit verifizieren.
security.txt auf Strato
security.txt (RFC 9116) ist eine standardisierte Textdatei, die Sicherheitsforschern mitteilt, wie sie Schwachstellen verantwortungsvoll melden können. Ohne diese Datei haben Forscher oft keine Möglichkeit, Sie zu kontaktieren — Schwachstellen bleiben ungemeldet. security.txt ist mit 5 von 166 Punkten im Wolf-Agents Web Security Check vertreten.
Auf Strato Shared Hosting erstellen Sie die Datei lokal und laden sie per FTP in das Verzeichnis /.well-known/ hoch. Falls das Verzeichnis noch nicht existiert, legen Sie es per FTP-Client an. Keine .htaccess- oder PHP-Konfiguration nötig — die Datei muss nur unter der korrekten URL erreichbar sein.
Wichtig: Das Expires-Feld ist Pflicht nach RFC 9116. Setzen Sie ein Datum maximal 1 Jahr in der Zukunft und erneuern Sie die Datei regelmäßig. Der Wolf-Agents Web Security Check warnt automatisch, wenn die security.txt abgelaufen ist.
security.txt auf Strato implementieren
Erstellen Sie die security.txt-Datei lokal und laden Sie sie per FTP in das Verzeichnis /.well-known/ auf Ihrem Strato-Webspace hoch. Ergänzen Sie optional einen Redirect in der .htaccess, damit die Datei auch ohne .well-known-Pfad erreichbar ist.
# /.well-known/security.txt
# RFC 9116 — Sicherheitskontakt fuer Ihre Domain
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-28T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
Policy: https://ihre-domain.de/security-policy# Verzeichnisstruktur auf Strato FTP
/ # Webroot
├── .well-known/
│ └── security.txt # Hier hochladen
├── .htaccess # Redirect-Regel
└── index.html# .htaccess — Redirect /security.txt → /.well-known/security.txt
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^security\.txt$ /.well-known/security.txt [L,R=301]
</IfModule>Falls das .well-known-Verzeichnis auf Ihrem Strato-Webspace nicht existiert, erstellen Sie es per FTP-Client (z.B. FileZilla). Bei manchen FTP-Clients müssen Sie „Versteckte Dateien anzeigen" aktivieren, um Verzeichnisse mit Punkt-Prefix zu sehen.
Verifizierung
Prüfen Sie die Erreichbarkeit per curl. Die Datei muss unter https://ihre-domain.de/.well-known/security.txt mit HTTP 200 und Content-Type text/plain erreichbar sein.
# security.txt Erreichbarkeit pruefen
curl -sI https://ihre-domain.de/.well-known/security.txt
# Erwartete Ausgabe (HTTP 200):
# HTTP/2 200
# content-type: text/plain
# Inhalt pruefen:
curl -s https://ihre-domain.de/.well-known/security.txtHäufige Fehler bei security.txt auf Strato
.well-known Verzeichnis bei Strato nicht sichtbar
Verzeichnisse mit Punkt-Prefix werden in vielen FTP-Clients standardmäßig ausgeblendet. Aktivieren Sie „Versteckte Dateien anzeigen" in den FTP-Client-Einstellungen (FileZilla: Server → Auflistung versteckter Dateien erzwingen).
Expires-Feld fehlt oder ist abgelaufen
Das Expires-Feld ist nach RFC 9116 Pflicht. Setzen Sie ein Datum maximal 1 Jahr in der Zukunft im ISO 8601-Format. Erneuern Sie die Datei regelmäßig — der Wolf-Agents Scanner warnt bei abgelaufenem Datum.
Falscher Content-Type bei Strato
Die security.txt muss als text/plain ausgeliefert werden. Falls Strato die Datei mit einem anderen Content-Type ausliefert, ergänzen Sie in der .htaccess: <Files "security.txt"> Header set Content-Type "text/plain" </Files>.
Compliance-Relevanz
security.txt erleichtert das Responsible Disclosure und zeigt, dass Ihre Organisation Sicherheitsmeldungen ernst nimmt.
Wie steht Ihre Domain bei security.txt?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.