Den skjulte grundsten i web-sikkerhed: Well-Known URIs forklaret

Det grønne lås-ikon på en hjemmeside er et tegn på årtiers standardisering på nettet. Men bagved står et smart system med faste adresser, som sikrer login, SSL-certifikater og ansvarlig rapportering af fejl. De fleste udviklere tænker aldrig over det.

Velkommen til well-known URIs.

Hvad er well-known URIs?

Well-known URIs er standardiserede webadresser med klare formål. De sidder på /.well-known/ under dit domain og følger regler fra IANA.

Forestil dig dem som netværkets faste nødudgange. Enhver tjeneste ved præcis, hvor de finder vigtige filer – uden at skulle gætte.

De vigtigste spillere: Her sker det

ACME Challenge: Automatisk SSL i praksis

/.well-known/acme-challenge er kernen i gratis SSL-certifikater. Let's Encrypt og lignende bruger den til at tjekke, om du ejer domænet.

Proces: Du anmoder om certifikat. CA'en sender en udfordring. Du placerer et token her. CA'en henter det og godkender. Det gør automatisering mulig i stor skala.

På platforme som NameOcean med automatisk SSL kører det stille i baggrunden.

PKI Validation: Den klassiske metode

/.well-known/pki-validation gør det samme for ældre CA'er og enterprise-systemer. ACME har taget over for de fleste, men den holder stadig i compliance-sammenhænge.

OpenID Connect og OAuth: Login uden besvær

/.well-known/openid-configuration og /.well-known/oauth-authorization-server deler info om din autentificering. Hvilke algoritmer? Hvilke endpoints? Hvilke flows?

Perfekt til SaaS eller integration med ID-providere. Apps finder selv ud af det uden hardcodede links.

Den oversete sikkerhedsboost

Security.txt: Dit kanal til fejlrapport

/.well-known/security.txt (RFC 9116) er et must, som mange ignorerer. Her står din sikkerhedspolitik, kontaktinfo og vejledning til rapportering.

En researcher finder en fejl. De checker filen og ved, hvad de skal gøre. Det forhindrer offentlig eksponering.

Asset Links: Sikkerhed til mobil

/.well-known/assetlinks.json linker dit domain til Android-apps. Det stopper spoofing og phishing ved at bekræfte ægtheden.

Hvorfor det betyder noget for dig

Well-known URIs handler om ét princip: standarder åbner for automatisering. Ingen opfinder hjulet hver gang.

Fordele for udviklere og opsættere:

• Automatisering virker, fordi stederne er faste
• Sikkerhed stiger med klar disclosures-kanal
• Integration letter via selvbeskrivende systemer
• Vedligehold bliver let, takket være RFC'er

Sådan rammer det dit setup

Med et domain fra NameOcean og Vibe Hosting med AI-styring er well-known URIs med i grundpakken. ACME håndterer SSL. OpenID finder auth-info. Tilføj security.txt for bedre sikkerhed.

Det meste kører automatisk. Men viden om dem giver dig kontrol over sikkerhed, login og flow.

Hvad sker der frem?

IANA's register vokser løbende. Nye standarder dukker op med sikkerhedens udvikling. Hold øje – og undgå custom-løsninger, der ødelægger automatiseringen.

Næste gang du ser det grønne ikon eller logger ind uden besvær, takk well-known URIs. De holder det moderne net kørende i det stille.