La comunicazione è importante anche nella sicurezza informatica: una risposta tempestiva è spesso la linea di demarcazione tra una vulnerabilità risolta senza danni e un disastroso data breach. È proprio qui che entra in gioco un file di testo semplice ma molto efficace: il security.txt.
Per chi gestisce un sito web, un e-commerce o una piattaforma complessa, avere un canale di comunicazione chiaro per le segnalazioni di sicurezza è fondamentale. Abbiamo deciso di rendere questo controllo uno dei parametri di valutazione in PerSeo Insights 7.1.0-alpha.
Cos'è il file security.txt e a cosa serve?
Il security.txt è uno standard internet recente (definito dalla RFC 9116) che permette ai proprietari di siti web di definire chiaramente le proprie policy per la divulgazione responsabile delle vulnerabilità (Responsible Disclosure).
In parole semplici: se un ricercatore di sicurezza (un "white hat hacker") o un utente esperto trova una falla nel sito, come fa a comunicarla in modo sicuro e veloce prima che finisca nelle mani sbagliate? Spesso i form di contatto generici sono gestiti dal marketing o dal customer care, che potrebbero non comprendere la gravità o la tecnicità della segnalazione.
Il file security.txt risolve questo problema fornendo ai ricercatori le informazioni di contatto dirette del team di sicurezza, le chiavi PGP per criptare i messaggi e le policy da seguire.
Chi lo usa già?
I principali player del web hanno adottato lo standard da tempo. Qualche esempio:
- Google:
https://www.google.com/.well-known/security.txt - GitHub:
https://github.com/.well-known/security.txt - Facebook/Meta:
https://www.facebook.com/.well-known/security.txt
La presenza di security.txt in questi domini segnala che lo standard è ormai considerato una best practice consolidata, non una nicchia per appassionati di cybersecurity.
È un fattore SEO? (diretto vs indiretto)
Una delle domande più frequenti in PerSeo Design riguarda se implementare questo file possa aiutare a scalare le classifiche di Google.
Fattore SEO diretto: no
Attualmente, Google non utilizza il file security.txt come fattore di ranking diretto. Non si ottiene un "boost" nelle SERP solo per aver aggiunto questo file al webserver.
Fattore SEO indiretto: sì
Tuttavia, il suo impatto indiretto sulla SEO è rilevante:
- Prevenzione di blacklist e deindicizzazione: un sito compromesso e infettato da malware viene penalizzato da Google, spesso con la comparsa di avvisi nei risultati di ricerca. Un ricercatore che segnala la falla prima che venga sfruttata può evitare scenari di questo tipo.
- Trust ed E-E-A-T: Google dà sempre più importanza all'affidabilità (trust) all'interno del paradigma E-E-A-T. Dimostrare standard di sicurezza elevati e policy trasparenti contribuisce a costruire un brand solido e affidabile agli occhi degli algoritmi e degli utenti.
- Reputazione del dominio: un incidente di sicurezza gestito male genera copertura mediatica negativa, link tossici e perdita di fiducia. Avere procedure di disclosure documentate riduce questi rischi.
Perché lo abbiamo integrato in PerSeo Insights 7.1.0-alpha?
Nella nostra missione di fornire gli strumenti di auditing più avanzati, con la release di PerSeo Insights 7.1.0-alpha abbiamo separato la parte di sicurezza dal resto del report, introducendo una tab dedicata con scansioni che verificano il rispetto degli standard web più recenti. Abbiamo deciso di includere il controllo della presenza e della validità del file security.txt per diversi motivi:
- Allineamento agli standard globali: i più grandi player del web lo utilizzano. I siti analizzati dai nostri utenti dovrebbero puntare all'eccellenza.
- Approccio proattivo: la sicurezza non è solo HTTPS o firewall, è anche avere procedure per gestire gli imprevisti. Rilevare l'assenza del
security.txtspinge i webmaster a ragionare preventivamente su "cosa fare in caso di attacco". - Completezza dell'audit: un audit professionale nel 2026 non può ignorare le policy di vulnerability disclosure.
Come si scrive e qual è la sua struttura?
Il file è un semplice file di testo (formato .txt) composto da direttive e valori. Ecco i campi principali:
Contact(Obbligatorio): l'indirizzo email o il link al form per contattare il team di sicurezza (es.Contact: mailto:[email protected]).Expires(Obbligatorio): la data e l'ora (in formato ISO 8601) in cui i dati del file diventano obsoleti. Obbliga a mantenere il file aggiornato (es.Expires: 2026-12-31T23:59:59Z).Encryption(Consigliato): link alla chiave pubblica PGP per permettere ai ricercatori di inviare comunicazioni criptate.Acknowledgments: link a una pagina "Hall of Fame" dove ringraziare chi ha individuato bug in passato.Preferred-Languages: le lingue preferite per le segnalazioni (es.Preferred-Languages: it, en).Canonical: l'URL ufficiale dove si trova il file security.txt.Policy: un link alla policy di divulgazione delle vulnerabilità.
Esempio di un file security.txt
Contact: mailto:[email protected]
Expires: 2026-12-31T23:59:59.000Z
Encryption: https://perseodesign.com/pgp-key.txt
Preferred-Languages: it, en
Canonical: https://perseodesign.com/.well-known/security.txt
Dove posizionare il file?
Secondo la RFC 9116, il file deve essere posizionato all'interno della directory nascosta /.well-known/ del dominio.
L'URL corretto sarà:
https://www.esempio.com/.well-known/security.txt
(Nota: per retrocompatibilità è tollerato posizionarlo anche nella directory root /security.txt, ma la posizione standard e raccomandata rimane sotto /.well-known/).
Come si verifica se il file è presente e valido?
Esistono tre modi per controllare:
- Manuale: aprire il browser e navigare direttamente a
https://dominio.com/.well-known/security.txt. Se il file esiste, il contenuto sarà visibile in chiaro. - Tool online: il sito ufficiale securitytxt.org include sia un generatore che un validatore.
- PerSeo Insights: dalla versione 7.1.0-alpha, ogni scansione verifica automaticamente la presenza e la raggiungibilità del file, mostrandone lo stato nella tab Sicurezza del report.
Esiste un generatore automatico?
Sì. Se non si vuole scrivere il file a mano e rischiare errori di formattazione (soprattutto per il timestamp del campo Expires), esiste un tool ufficiale sul sito del progetto: https://securitytxt.org/.
Il generatore guidato permette di inserire l'email, la data di scadenza desiderata e le altre informazioni opzionali, producendo automaticamente un testo corretto e pronto da caricare sul server.
Aggiungere un file security.txt richiede letteralmente cinque minuti, non ha costi e non appesantisce il server. Dimostra un livello di maturità digitale e di attenzione alla sicurezza che fa la differenza nella percezione del brand.
FAQ
Il file security.txt è obbligatorio per legge?
No, non esiste attualmente una normativa che lo renda obbligatorio. È uno standard volontario definito dalla RFC 9116. Tuttavia, la sua adozione è fortemente consigliata, specialmente per siti che trattano dati sensibili, piattaforme e-commerce e servizi pubblici digitali.
Il file security.txt migliora il posizionamento su Google?
Non direttamente. Google non usa la sua presenza come segnale di ranking. L'impatto sulla SEO è indiretto: riduce il rischio di compromissioni che porterebbero a penalizzazioni, contribuisce alla costruzione di un brand affidabile e si allinea ai principi E-E-A-T.
Con quale frequenza va aggiornato?
La direttiva Expires impone una data di scadenza. La raccomandazione generale è di impostare una scadenza non superiore a un anno e di rinnovarla periodicamente. Un file scaduto equivale a nessun file: i ricercatori di sicurezza potrebbero ignorarlo.
Cosa succede se un ricercatore trova una vulnerabilità e non c'è il security.txt?
In assenza di un canale dedicato, i ricercatori spesso ricorrono a form di contatto generici, email aziendali non appropriate o, nei casi peggiori, decidono di non segnalare affatto (o di rendere pubblica la vulnerabilità prima che venga corretta). Il security.txt riduce questa frizione e incentiva la divulgazione responsabile.
È sufficiente mettere solo l'email di contatto?
Tecnicamente sì, poiché Contact è l'unico campo obbligatorio insieme a Expires. Tuttavia, aggiungere anche Encryption (chiave PGP) e Policy rende il canale più credibile e professionale agli occhi dei ricercatori esperti.
PerSeo Insights controlla la validità del contenuto o solo la presenza del file?
Nella versione attuale (7.1.0-alpha) viene verificata la raggiungibilità del file (risposta HTTP 200). La validazione del contenuto, inclusa la scadenza del campo Expires, è prevista nelle release successive.
Risorse utili:
- RFC 9116 - Security.txt standard
- Generatore e validatore ufficiale
- PerSeo Insights per verificare automaticamente la presenza del file nel proprio sito