Den dolda grunden i webbens säkerhet: Well-Known URIs förklarade

När du ser det gröna hänglåset i webbläsaren är det standarder som jobbat i bakgrunden. Men bakom det ligger ditt lösenord, SSL-certifikat och rapporter om säkerhetshål – allt byggt på fasta platser som få tänker på.

Välkommen till well-known URIs.

Vad är well-known URIs?

Det är standardiserade webbadresser med specifika syften. De hamnar alltid under /.well-known/ på din domain. IANA styr vilka som gäller.

Tänk dig dem som internetets branddörrar. Alla vet exakt var de finns, oavsett byggnad. Samma sak här: tjänster hittar kritiska filer utan gissningar.

De stora spelarna: Där det händer

ACME Challenge: Hjärtat i automatiska SSL-certifikat

/.well-known/acme-challenge är stjärnan. Let's Encrypt använder den för att kolla att du äger domänen innan de ger ut SSL-certifikat.

Så funkar det: Du begär certifikat. CA skickar en utmaning. Du lägger en token på platsen. CA hämtar den och godkänner. Därför kan gratis certifikat skalas upp automatiskt.

På plattformar som NameOcean med automatisk SSL rullar det igång själv.

PKI Validation: Den klassiska vakten

/.well-known/pki-validation gör samma jobb för traditionella CA:er. Företag och compliance använder den fortfarande, även om ACME tar över mer och mer.

OpenID Connect och OAuth: Autentiseringen som styr sig själv

/.well-known/openid-configuration och /.well-known/oauth-authorization-server delar ut info om hur inloggning funkar. Vilka algoritmer? Vilka endpoints? Vilka flöden?

Bygger du SaaS eller kopplar till ID-leverantörer? Då sköter de upptäckten automatiskt. Inga hårdkodade länkar behövs.

Den förbisedda säkerhetsnivån

Security.txt: Din kanal för sårbarheter

/.well-known/security.txt (RFC 9116) glöms ofta bort. Här lägger du din säkerhetspolicy, rapporteringsrutiner och kontakter.

En forskare hittar ett hål. De kollar filen och vet hur de ska rapportera säkert. Det skiljer en hanterad incident från offentlig kaos.

Asset Links: Säkerhet för mobilen

/.well-known/assetlinks.json kopplar din webbsida till appar. Android verifierar att appen hör hemma på domänen. Stoppar spoofing och phishing.

Varför det räknas för din setup

Well-known URIs handlar om ett enkelt princip: standarder driver automation. Inga egna lösningar för varje tjänst.

För dig som utvecklar eller driver sajter:

• Automation förenklas – verktygen vet var de ska leta
• Säkerhet ökar – fast kanal för rapporter
• Integration blir lätt – system beskriver sig själva
• Underhåll blir förutsägbart – allt i RFC:er

Vad det betyder för din domain

Med NameOcean och Vibe Hosting med AI-driven hantering är detta grunden. SSL via ACME. Inloggning via OpenID. Säkerhetspolicy i security.txt.

Ofta sköter det sig självt. Men att fatta hur det hänger ihop förändrar din syn på säkerhet, autentisering och automatisering.

Vad kommer härnäst?

IANA:s register växer. Nya standarder dyker upp med säkerhet och arkitektur. Håll koll så du inte hittar på egna grejer som saboterar automationen.

Nästa gång du ser hänglåset eller loggar in smidigt – tacka well-known URIs. De håller webben igång i det tysta.