security.txt für Vercel konfigurieren
Schritt-für-Schritt-Anleitung: security.txt auf Vercel einrichten — Sicherheitsforscher auf den richtigen Kanal lenken und Responsible Disclosure ermöglichen.
security.txt auf Vercel
security.txt (RFC 9116) ist eine standardisierte Kontaktdatei unter /.well-known/security.txt. Sie ermöglicht es Sicherheitsforschern, Schwachstellen über den richtigen Kanal zu melden. security.txt ist mit 2 von 166 Punkten im Wolf-Agents Web Security Check bewertet — ein kleiner, aber wichtiger Beitrag.
Auf Vercel legen Sie die Datei einfach unter public/.well-known/security.txt ab. Vercel serviert statische Dateien aus dem public/-Ordner automatisch. Optional können Sie den Content-Type per vercel.json explizit auf text/plain setzen.
security.txt erstellen
Erstellen Sie die Datei im RFC 9116-Format. Die Pflichtfelder sind Contact und Expires. Verwenden Sie eine dedizierte E-Mail-Adresse oder ein Vulnerability-Disclosure-Formular. Das Expires-Datum sollte maximal ein Jahr in der Zukunft liegen.
# public/.well-known/security.txt
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-29T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
Policy: https://ihre-domain.de/security-policyContent-Type per vercel.json setzen
Vercel erkennt den Content-Type für .txt-Dateien automatisch als text/plain. Optional können Sie den Zeichensatz explizit auf utf-8 setzen, um sicherzustellen, dass Umlaute und Sonderzeichen korrekt dargestellt werden.
// vercel.json — Content-Type für security.txt
{
"headers": [
{
"source": "/.well-known/security.txt",
"headers": [
{
"key": "Content-Type",
"value": "text/plain; charset=utf-8"
}
]
}
]
}Erstellen Sie den Ordner public/.well-known/ in Ihrem Projekt-Root. Vercel serviert alle Dateien unter public/ als statische Assets — .well-known/security.txt wird automatisch unter dem korrekten Pfad verfügbar.
Erreichbarkeit verifizieren
Prüfen Sie nach dem Deployment, ob die security.txt unter dem korrekten Pfad erreichbar ist. Der Wolf-Agents Web Security Check prüft automatisch, ob die Datei vorhanden ist, das richtige Format hat und ein gültiges Expires-Datum enthält.
# security.txt prüfen
curl -s https://ihre-domain.de/.well-known/security.txt
# Erwartete Ausgabe:
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-29T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txtHäufige Fehler
Expires-Datum abgelaufen
Ein abgelaufenes Expires-Datum signalisiert, dass die Kontaktdaten möglicherweise veraltet sind. Aktualisieren Sie das Datum regelmäßig — idealerweise bei jedem Release.
Falscher Pfad
Die Datei muss unter /.well-known/security.txt erreichbar sein, nicht unter /security.txt. Legen Sie sie in public/.well-known/ ab, nicht direkt in public/.
Framework-Routing überschreibt statische Dateien
Manche Frameworks (z.B. SvelteKit) routen .well-known-Pfade durch die Anwendung. Prüfen Sie, ob Vercel die statische Datei direkt ausliefert oder eine Framework-Route matcht.
Compliance-Relevanz
security.txt ist ein anerkannter Standard für Responsible Disclosure. NIS2 fordert dokumentierte Prozesse für den Umgang mit Sicherheitsvorfällen — security.txt zeigt, dass Sie auf Meldungen vorbereitet sind. ISO 27001 verlangt definierte Kommunikationswege für Sicherheitsforscher. Der Wolf-Agents Web Security Check prüft Vorhandensein und Gültigkeit der Datei.
Wie steht Ihre Domain bei security.txt?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.