Combien de fichiers /.well-known/ faut-il publier en 2026 ?

Pour un site DTC qui veut maximiser son score Agent Readiness, viser 11 endpoints répartis en 3 tiers : 5 RFC ratifiés à publier sans réserve (security.txt, change-password, openid-configuration, oauth-authorization-server, mta-sts.txt), 1 endpoint en draft IETF mais déjà en production (Web Bot Auth), et 5 nouveaux ou émergents à intégrer si vous êtes early adopter (agent-card.json A2A, /.well-known/mcp/server-card.json, llms.txt, oauth-protected-resource, api-catalog).

Est-ce que llms.txt fait vraiment venir du trafic IA ?

Non, à ce jour. Une étude OtterlyAI sur 90 jours mesure llms.txt à 0,1% du trafic bot IA. Une étude Search Engine Land sur 10 sites et 180 jours conclut qu'il n'a aucun impact mesurable sur 8 sites. John Mueller (Google) le compare au meta keywords tag. Publier un llms.txt reste utile comme signal de crédibilité et pour les outils dev (Cursor, Continue) mais ne doit pas être présenté comme un levier de trafic.

Comment Cloudflare calcule mon score Agent Readiness ?

Le score 0-100 publié sur isitagentready.com (lancé le 17 avril 2026) repose sur 4 dimensions : Discoverability (robots.txt, sitemap, Link headers), Content Accessibility (négociation Markdown), Bot Access Control (Content Signals, Web Bot Auth), Capabilities (MCP Server Card, OAuth Protected Resource, protocoles commerce). Le scanner détecte la présence binaire des fichiers, pas leur qualité. Premier rapport mondial : 78% des sites ont un robots.txt, 4% déclarent leurs préférences IA, moins de 15 sites au monde supportent les MCP Server Cards.

Quel /.well-known/ les agents IA consultent vraiment en 2026 ?

Un seul fichier /.well-known/ a une adoption opérateur réelle et mesurable : /.well-known/http-message-signatures-directory (Web Bot Auth). ChatGPT Agent, Goose (Block), Browserbase, Anchor Browser, et Cloudflare Browser Rendering y publient leur clé publique Ed25519 pour signer leurs requêtes. Côté serveur, Cloudflare et AWS WAF vérifient ces signatures. Les autres /.well-known/ (agent-card, MCP, llms.txt) ne sont pas consultés systématiquement par les agents avant navigation, contrairement à ce qu'avancent certains articles marketing.

Faut-il publier un /.well-known/mcp.json en 2026 ?

Pas encore. Au 25 avril 2026, MCP n'a pas de standard /.well-known/mcp.json stabilisé. Deux propositions sont en draft : SEP-1649 (/.well-known/mcp/server-card.json) et SEP-1960 (/.well-known/mcp). Les deux sont des proposals non mergées dans la spec MCP core. Si vous opérez un serveur MCP, exposez-le directement via mcp.votredomaine.com et référencez-le dans votre agent-card.json (champ mcpEndpoint). Attendre la version finale de la spec avant d'investir lourdement.

Mon site Shopify peut-il publier ces fichiers /.well-known/ ?

Oui, mais avec des limites. Shopify expose nativement /.well-known/apple-app-site-association et quelques endpoints système. Pour les autres (security.txt, change-password, llms.txt, agent-card.json), passer par : un Shopify Theme avec template page personnalisé, une App Proxy qui sert le fichier depuis votre backend, ou un Cloudflare Worker en frontal qui réécrit la requête. Pour MTA-STS, utiliser le sous-domaine mta-sts.votremarque.com hébergé hors Shopify. La majorité des stores Shopify n'ont aujourd'hui ni security.txt, ni change-password, ni agent-card.

Pourquoi mon score Agent Readiness chute si je n'ai pas de Web Bot Auth ?

Web Bot Auth est le seul standard /.well-known/ avec une adoption serveur réelle (Cloudflare, AWS WAF, vraisemblablement Vercel/Akamai). Le score Cloudflare valorise sa présence parce que c'est aujourd'hui le seul mécanisme qui permet à un site de distinguer un agent IA légitime (ChatGPT Agent signé) d'un crawler stealth. Pour publier, vous devez héberger un JWKS Ed25519 à /.well-known/http-message-signatures-directory et signer les requêtes que vous émettez. Pour un site DTC qui ne fait que recevoir, cette dimension peut rester vide sans casser le score global.

Score Agent Readiness : les 11 fichiers /.well-known/ à publier en 2026

En 60 mots : Cloudflare a lancé le 17 avril 2026 un score 0-100 qui mesure la lisibilité d’un site par les agents IA. Premier verdict mondial : 78% des sites ont un robots.txt, mais 4% seulement déclarent leurs préférences IA et moins de 15 sites supportent les MCP Server Cards. Voici les 11 endpoints /.well-known/ qui font passer un site DTC de 25 à 90, avec exemples copiables et ce qui marche vraiment.

Pourquoi cet article maintenant

Le 17 avril 2026, Cloudflare a publié isitagentready.com, un scanner qui note les sites de 0 à 100 sur leur préparation aux agents IA. C’est la première mise en concurrence publique des sites e-commerce sur ce critère. La même semaine, le draft IETF Web Bot Auth est passé en version 05, l’A2A AgentCard a été enregistré au registre IANA, et Mark Nottingham a publié draft-nottingham-rfc8615bis-02 pour réviser la RFC qui gouverne tous ces endpoints.

Le terrain est inhabituel : un sujet central, une concurrence vide en français, et des données fraîches qui démentent une bonne partie de ce que le marketing GEO racontait jusqu’ici.

Qu’est-ce qu’un fichier /.well-known/ ?

Un fichier /.well-known/ est un endpoint standardisé (RFC 8615) que les sites publient à la racine de leur domaine pour exposer des métadonnées lisibles par des machines. En 2026, les agents IA et les serveurs de vérification y cherchent des fichiers comme security.txt, agent-card.json, ou la clé publique Web Bot Auth pour comprendre votre site et vérifier l’authenticité des bots qui s’y connectent.

Le standard date de mai 2019 (RFC 8615, Mark Nottingham). Il définit un préfixe d’URL réservé /.well-known/ qu’aucune application ne doit utiliser pour autre chose qu’un endpoint de découverte enregistré à l’IANA. Le registre officiel contient aujourd’hui une cinquantaine d’entrées, dont une vingtaine sont pertinentes pour un site web standard.

Comment Cloudflare note l’agent readiness

Le score 0-100 d’isitagentready.com repose sur 4 dimensions :

Dimension	Ce qui est testé
Discoverability	robots.txt, sitemap, Link headers, présence des bots IA dans les directives
Content Accessibility	Négociation Markdown via Accept header, fidélité contenu HTML vs Markdown
Bot Access Control	Content Signals dans robots.txt, Web Bot Auth
Capabilities	MCP Server Card, OAuth Protected Resource, protocoles commerce (x402, MPP, UCP, ACP)

Le premier rapport mondial publié par Cloudflare le 17 avril 2026 chiffre l’écart entre la maturité technique disponible et son adoption réelle :

78% des sites ont un robots.txt
4% déclarent leurs préférences IA via Content Signals
3,9% supportent la négociation Markdown
Moins de 15 sites au monde exposent un MCP Server Card

C’est l’écart qui fait du sujet un levier d’autorité immédiat : il ne faut pas être en avance de phase pour passer de “site basique” à “top mondial”, il suffit de publier 5 fichiers correctement.

Les 11 endpoints en 3 tiers

Tous les articles GEO mélangent RFC ratifiés, drafts IETF et propositions privées. C’est l’erreur méthodologique principale du domaine. Un endpoint en RFC standardisé depuis 7 ans n’a pas le même statut qu’une SEP ouverte il y a 6 mois sur GitHub. Voici la séparation claire.

Tier 1 — RFC ratifiés à publier sans réserve

Ces 5 endpoints sont des standards stabilisés. Aucune raison de ne pas les publier en 2026.

1. `/.well-known/security.txt` (RFC 9116)

Permet aux chercheurs en sécurité de signaler une faille. Signal de maturité technique reconnu par Google, les scanners de sécurité, et les outils de bug bounty.

Modèle conforme (GitHub) :

Contact: https://hackerone.com/votre-marque
Acknowledgments: https://hackerone.com/votre-marque/hacktivity
Preferred-Languages: fr, en
Canonical: https://votre-marque.com/.well-known/security.txt
Policy: https://votre-marque.com/security-policy
Hiring: https://votre-marque.com/jobs
Expires: 2027-04-25T00:00:00Z

Erreur fréquente vérifiée le 25 avril 2026 : le security.txt de Stripe a un champ Expires: 2025-12-31, donc expiré depuis 4 mois et non conforme RFC 9116. Celui de Shopify n’a ni Expires ni Canonical. Ces deux exemples sont le contre-modèle. La date d’expiration doit être inférieure à 1 an dans le futur, et un cron doit la régénérer automatiquement.

2. `/.well-known/change-password`

Une simple redirection HTTP 302 vers la page de changement de mot de passe. Spec WHATWG, supportée par tous les password managers (1Password, iCloud Keychain, Bitwarden) pour proposer le changement après une fuite.

Implémentation Nginx :

location = /.well-known/change-password {
    return 302 /account/security;
}

Vérifié : GitHub, Google, Facebook, Twitter renvoient bien un 301/302. Shopify renvoie 404, donc ne supporte pas le standard nativement. À publier via App Proxy ou Cloudflare Worker.

3. `/.well-known/openid-configuration` et `/.well-known/oauth-authorization-server`

Endpoints OpenID Connect Discovery (2013) et OAuth 2.0 Authorization Server Metadata (RFC 8414, 2018). Pertinents si vous opérez un serveur d’authentification ou si votre site offre du SSO.

Pour un site DTC sans portail client OAuth, ces endpoints peuvent être absents sans pénalité majeure. Si présents, le payload doit lister issuer, authorization_endpoint, token_endpoint, jwks_uri, et scopes_supported.

4. `/.well-known/mta-sts.txt` (RFC 8461)

Politique de sécurité email. Vit sur le sous-domaine mta-sts.votremarque.com, pas sur le domaine racine.

Modèle Gmail (mode enforce, production) :

version: STSv1
mode: enforce
mx: smtp.google.com
mx: gmail-smtp-in.l.google.com
mx: *.gmail-smtp-in.l.google.com
max_age: 86400

Modèle rollout (mode testing) :

version: STSv1
mode: testing
mx: in1-smtp.messagingengine.com
mx: in2-smtp.messagingengine.com
max_age: 86400

Pour un site DTC, démarrer en testing pendant 30 jours, surveiller les rapports TLS-RPT, puis passer en enforce. C’est le seul endpoint de ce tier qui demande une coordination avec votre fournisseur email.

5. `/.well-known/agent-card.json` (A2A Protocol)

Enregistré au registre IANA le 1er août 2025, statut permanent. Spec maintenue sur a2a-protocol.org, donnée à la Linux Foundation par Google le 23 juin 2025. Membres fondateurs : AWS, Cisco, Google, Microsoft, Salesforce, SAP, ServiceNow.

Vérification du marché au 25 avril 2026 : Anthropic, OpenAI, Vercel, Shopify, GitHub ne publient PAS d’agent-card. C’est précisément l’opportunité. Publier un agent-card conforme aujourd’hui place votre marque dans un peloton de tête de quelques dizaines de sites au monde.

Modèle minimal A2A v1 :

{
  "name": "Votre Marque",
  "description": "Marque DTC de cosmétiques clean. Boutique principale et catalogue produit.",
  "version": "1.0.0",
  "url": "https://votre-marque.com",
  "documentationUrl": "https://votre-marque.com/aide",
  "provider": {
    "organization": "Votre Marque SAS",
    "url": "https://votre-marque.com",
    "contactEmail": "[email protected]"
  },
  "capabilities": {
    "streaming": false,
    "pushNotifications": false,
    "stateTransitionHistory": false
  },
  "skills": [
    {
      "id": "product-discovery",
      "name": "Product Discovery",
      "description": "Catalogue de 120 produits sérum et soins. Filtres par type de peau, concerns, ingrédients actifs.",
      "tags": ["beauty", "skincare", "dtc"]
    }
  ],
  "authentication": { "schemes": ["none"] }
}

Tier 2 — Draft IETF mais déjà en production

Un seul fichier dans cette catégorie, et c’est le plus stratégique de tous.

6. `/.well-known/http-message-signatures-directory` (Web Bot Auth)

Le seul /.well-known/ avec une adoption opérateur réelle et mesurable en avril 2026. Draft IETF draft-meunier-http-message-signatures-directory-05 publié le 2 mars 2026, applique RFC 9421 (HTTP Message Signatures). Working Group webbotauth formellement créé par l’IETF.

Opérateurs qui publient leur clé publique Ed25519 (vérifié le 25 avril 2026) :

ChatGPT Agent (OpenAI) — https://chatgpt.com/.well-known/http-message-signatures-directory
Goose (Block)
Browserbase — https://www.browserbase.com/.well-known/http-message-signatures-directory
Anchor Browser
Cloudflare Browser Rendering

Côté serveur : Cloudflare et AWS WAF vérifient ces signatures dans leurs programmes Verified Bots.

Forme exacte des headers envoyés par un agent signé :

Signature-Agent: "https://chatgpt.com"
Signature-Input: sig1=("@authority" "signature-agent");created=1735689600;expires=1735693200;keyid="otMqcjr17mGyruktGvJU8oojQTSMHlVm7uO-lrcqbdg";tag="web-bot-auth";alg="ed25519"
Signature: sig1=:base64url-Ed25519-signature==:

Modèle JWKS publié à votre endpoint :

{
  "keys": [
    {
      "kid": "abc123-thumbprint-jwk",
      "crv": "Ed25519",
      "kty": "OKP",
      "x": "votre-cle-publique-base64url",
      "use": "sig",
      "nbf": 1735689600,
      "exp": 1777673926
    }
  ],
  "signature_agent": "https://votre-marque.com",
  "purpose": "ai"
}

Pour un site DTC qui ne fait que recevoir des requêtes (pas un agent émetteur), cette dimension du score reste vide sans pénalité critique. Pour un éditeur de SaaS ou un opérateur d’agent, c’est devenu un standard de facto.

Tier 3 — Propositions privées, statut variable

Ces 5 endpoints sont des propositions de spec, des fichiers à la racine non standardisés, ou des SEPs en draft. Honnêteté requise : ils ne sont pas tous prêts pour la production.

7. `/llms.txt` (racine, pas /.well-known/)

Spec proposée par Jeremy Howard (AnswerDotAI) le 3 septembre 2024. Vit à la racine du domaine, pas dans /.well-known/. Une issue GitHub a proposé /.well-known/llms.txt mais la spec a maintenu la racine.

Données mesurées sur l’efficacité réelle :

L’étude OtterlyAI sur 90 jours et 62 100 visites bot IA mesure llms.txt à 0,1% du trafic IA.
L’étude Search Engine Land sur 10 sites et 180 jours conclut : 8 sites sans aucun changement mesurable, 2 gains attribuables à du contenu nouveau, pas au fichier.
John Mueller (Google) compare publiquement llms.txt au meta keywords tag.
L’adoption mesurée par SE Ranking sur 300 000 domaines est de 10,13%.

Conclusion honnête : publier llms.txt est utile comme signal de crédibilité technique, comme aide aux outils dev (Cursor, Continue, Aider), et comme assurance contre une éventuelle adoption future par un grand modèle. Le présenter comme un levier de trafic IA n’est pas sourcé.

Format minimal :

# Votre Marque

> Marque DTC fondée en 2018, sérums vitamine C clean et soins ingrédients courts. 120 références.

## Catalogue

- [Sérum Vitamine C 12%](https://votre-marque.com/products/serum-vitc): Brightening daily, peaux normales à mixtes
- [Crème hydratante](https://votre-marque.com/products/creme-hydratante): Texture légère, peaux sensibles

## Engagements

- [Composition INCI complète](https://votre-marque.com/inci): Toutes les fiches détaillées
- [Made in France](https://votre-marque.com/fabrication): Laboratoire Cosmébio à Lyon

8. `/.well-known/mcp/server-card.json` ou `/.well-known/mcp` (MCP, draft)

Deux propositions actives dans le repo modelcontextprotocol :

SEP-1649 : /.well-known/mcp/server-card.json avec serverInfo, transport, capabilities, authentication, tools, prompts. Ouverte le 14 octobre 2025.
SEP-1960 : /.well-known/mcp avec enumeration et auth discovery.

Au 25 avril 2026, aucune n’est mergée dans la spec MCP core. Anthropic, Cloudflare, Shopify ne publient pas ces fichiers. Pour aujourd’hui, exposer votre serveur MCP directement via mcp.votremarque.com/mcp et le référencer dans le champ mcpEndpoint de votre agent-card.json. Attendre la stabilisation des SEPs avant d’investir.

9. `/.well-known/api-catalog` (RFC 9727, décembre 2024)

RFC ratifié récemment, mais adoption marginale. Permet de pointer vers un fichier décrivant les APIs publiques de votre domaine. Pertinent si vous exposez une API publique documentée. Pour un site DTC vitrine, peut être omis sans pénalité.

10. `/.well-known/oauth-protected-resource` (RFC 9728, octobre 2024)

Métadonnées d’une ressource protégée OAuth. Référence pour OAuth 2.1. Comme api-catalog, pertinent pour les éditeurs SaaS plutôt que les sites DTC.

11. `/.well-known/ai-plugin.json` (déprécié, à connaître)

Format historique des ChatGPT Plugins. Déprécié par OpenAI le 9 avril 2024, remplacé par les Custom GPTs puis MCP. À mentionner uniquement comme contre-exemple : un endpoint /.well-known/ peut tomber en désuétude rapidement quand son sponsor pivote. Ne pas l’implémenter en 2026.

Ce qui marche vraiment, ce qui ne marche pas

Cette section dit ce que les autres articles GEO ne disent pas, parce que les sources primaires le démentent.

Ce qui marche

Web Bot Auth est le seul /.well-known/ avec une adoption serveur réelle. Cloudflare l’utilise pour identifier ChatGPT Agent (tag chatgpt-agent, detection ID 129220581). AWS WAF l’a intégré en novembre 2025. C’est le mécanisme qui distingue un agent légitime d’un crawler stealth.

security.txt et mta-sts.txt sont des standards matures consultés par les scanners de sécurité, les outils de réputation email (Talos, Spamhaus), et les programmes de bug bounty. Publier un security.txt conforme RFC 9116 améliore les scores E-E-A-T technique.

agent-card.json n’a pas encore d’adoption agent prouvée, mais le standard est ratifié IANA et donné à la Linux Foundation. Publier aujourd’hui place votre marque dans un peloton de tête de quelques dizaines de sites au monde, et la couverture média avait bien anticipé l’effet “early adopter”.

Ce qui ne marche pas (encore)

llms.txt : 0,1% du trafic IA mesuré par OtterlyAI. Aucun fournisseur LLM majeur ne l’engage comme input first-class. À publier pour les outils dev et la crédibilité, pas pour le trafic.

Le narratif “les agents IA lisent agent-card.json avant de naviguer” : aucune annonce officielle d’OpenAI, Anthropic, Google, ou Perplexity ne confirme cette pratique en avril 2026. Les agents (ChatGPT Atlas, Claude Computer Use, Perplexity Comet, Gemini Deep Research) browsent comme des navigateurs Chromium et rendent le JS comme un humain. Présenter agent-card comme “lu par les agents avant visite” est une projection marketing, pas un fait.

Les crawlers IA et le JavaScript : selon le monitoring direct Vercel sur nextjs.org (décembre 2024), aucun des crawlers majeurs (GPTBot, ClaudeBot, PerplexityBot, MetaBot) n’exécute le JavaScript. Seul Gemini le fait via l’infrastructure Googlebot. Implication : un site qui dépend de JS pour afficher prix, stock, ou avis est invisible à ces bots, indépendamment des /.well-known/.

Le ratio crawl-to-refer (Cloudflare, juillet 2025) montre l’asymétrie : Anthropic crawle 38 065 pages pour 1 visiteur référé, OpenAI 1 091 pour 1, Perplexity 194 pour 1. Publier vos fichiers /.well-known/ ne change pas cette asymétrie, mais améliore vos chances d’être cité quand vous l’êtes.

Checklist Shopify : que peut-on publier nativement

Pour un store Shopify standard, voici ce qui passe nativement et ce qui demande un workaround.

Endpoint	Natif Shopify	Workaround
`apple-app-site-association`	Oui	Aucun
`assetlinks.json`	Oui	Aucun
`security.txt`	Non	Page Shopify avec template `page.security-txt.liquid` + redirection serveur
`change-password`	Non (404)	App Proxy ou Cloudflare Worker → 302 vers `/account/security`
`openid-configuration`	Partiel (Shopify Customer Accounts)	Endpoint exposé sur `shopify.com` racine, pas sur votre domaine vanity
`mta-sts.txt`	N/A (sous-domaine email)	Hébergement séparé sur `mta-sts.votremarque.com`
`agent-card.json`	Non	App Shopify dédiée OU Cloudflare Worker en frontal
`llms.txt`	Non	Idem
`mcp/server-card.json`	Non	Pas avant stabilisation SEPs
`http-message-signatures-directory`	Non	Implémentation custom si vous opérez un agent émetteur

Recommandation pour un store Shopify DTC standard : commencer par les 4 endpoints quick wins (security.txt, change-password, agent-card.json, llms.txt) via un Cloudflare Worker en frontal. Compter 2 à 4 heures de mise en place. Cela suffit à passer de 25 à 70 environ sur le score Cloudflare.

Comment auditer son score actuel

Trois options pour mesurer où vous en êtes :

Option 1 — Test gratuit Cloudflare : ouvrir isitagentready.com, entrer votre URL, choisir le type de site (Content / API / All). Le scanner check robots.txt, sitemap, Link headers, négociation Markdown, présence des fichiers /.well-known/ listés ci-dessus. Limite documentée : score binaire présence/absence, pas d’évaluation de la qualité du contenu, pas de validation cryptographique réelle des signatures, segment commerce limité aux protocoles techniques.

Option 2 — Audit manuel avec curl :

# Vérifier la présence et le code HTTP
for endpoint in security.txt change-password agent-card.json; do
  echo "=== /.well-known/$endpoint ==="
  curl -sI "https://votre-marque.com/.well-known/$endpoint" | head -1
done

# Vérifier llms.txt à la racine
curl -sI "https://votre-marque.com/llms.txt" | head -1

Option 3 — Audit GEO Verity Score : audit gratuit en 60 secondes qui couvre les 11 endpoints /.well-known/ plus 200 autres signaux GEO (schema.org, contenu conversationnel, robots.txt IA, multilingue, agentic commerce). Verity Score audite la qualité des fichiers, pas seulement leur présence : conformité RFC 9116 du security.txt, validité de l’Expires, conformité A2A v1 de l’agent-card.json, fraîcheur du llms.txt, signatures Web Bot Auth valides cryptographiquement.

Verity Score publie son propre agent-card.json conforme A2A v1 et son llms.txt à jour, à l’adresse verityscore.io/.well-known/agent-card.json et verityscore.io/llms.txt. Vérifiable.

Données exclusives : qui crawle vraiment vos /.well-known/ en 2026

Avant cet article, aucune source publique n’avait mesuré la consultation des fichiers /.well-known/ IA-spécifiques par les crawlers déclarés. OtterlyAI a publié 0,1% pour llms.txt, mais personne pour agent-card.json, ai.txt, ou llms-full.txt.

Voici les premiers ratios mesurés sur les logs serveur de verityscore.io (avril 2026, données internes Verity Score). Méthodologie : capture en continu des hits HTTP sur les endpoints exposés, attribution des user-agents aux opérateurs déclarés via cross-référence User-Agent + ranges IP officiels publiés par OpenAI, Anthropic, Perplexity, Meta, Microsoft. Périmètre : 4 fichiers AI exposés (/.well-known/agent-card.json, /llms.txt, /ai.txt, /llms-full.txt) × 3 grands opérateurs IA observés (OpenAI, Microsoft, Meta).

Note méthodologique : nous publions ici les ratios qualitatifs parce que ce sont les patterns robustes même sur un échantillon initial restreint. Les volumes absolus sont actualisés en temps réel sur le dashboard public /fr/ai-traffic-report/ à mesure que la fenêtre d’observation grossit.

Métrique	Valeur observée	Lecture
Couverture de `/.well-known/agent-card.json` par les grands opérateurs IA	3/3 (OpenAI, Microsoft, Meta)	Seul endpoint AI avec couverture totale des 3 acteurs majeurs
Couverture de `/llms.txt`, `/ai.txt`, `/llms-full.txt` par les grands opérateurs IA	1/3 (Meta seul)	Aucun grand opérateur en dehors de Meta ne les crawle dans la mesure
Couverture des 4 fichiers AI par MetaBot	100%	Comportement de découverte structuré côté Meta AI
Part de `/.well-known/agent-card.json` dans les hits AI bot cumulés	environ 68%	Concentration massive sur l’endpoint A2A

Trois enseignements à plat :

/.well-known/agent-card.json est l’endpoint AI le plus largement adopté par les crawlers déclarés. Il est crawlé par les 3 grands opérateurs IA observés (OpenAI, Microsoft, Meta), alors que llms.txt, ai.txt, llms-full.txt ne le sont que par 1 opérateur sur 3 (Meta seul). Cohérent avec son enregistrement IANA récent et l’arrivée des agents A2A en production.
MetaBot couvre 100% des 4 endpoints AI exposés. Comportement de découverte systématique qui suggère un crawler dédié à la cartographie des préférences agent côté Meta AI. C’est le seul opérateur observé avec ce profil.
GPTBot et Bingbot ne crawlent que agent-card.json dans la mesure. Aucune trace de consultation de llms.txt par ces deux opérateurs. Cohérent avec la doctrine OpenAI publique qui ne reconnaît pas llms.txt comme input first-class.

Ces ratios sont à lire avec prudence (un seul site, période d’observation courte). Mais ils contredisent le narratif “les agents IA ignorent les /.well-known/”. Au minimum, les crawlers training et indexation des 3 grands opérateurs IA consultent l’endpoint A2A, et leur publication n’est donc pas un investissement mort.

Verity Score continue de publier ces mesures pour suivre l’évolution sur le dashboard public temps réel. Trois questions ouvertes restent à mesurer dans les prochains mois :

Quel /.well-known/ corrèle avec une citation Perplexity, ChatGPT Search, ou AI Overviews ? Aucune étude ne le quantifie aujourd’hui.
Quelle latence entre publication d’un agent-card.json et premier crawl GPTBot ou Bingbot ? Mesure de découverte.
Comparatif rendu JS entre les agents Comet, Atlas, Operator, Computer Use, Deep Research sur un benchmark commun.

En résumé

Ce qu’il faut faire en avril 2026	Niveau de confiance
Publier `security.txt` conforme RFC 9116 avec Expires < 1 an	Haute (RFC ratifié, adoption universelle)
Publier `change-password` en redirection 302	Haute (spec WHATWG, adoption password managers)
Publier `mta-sts.txt` en mode `testing` puis `enforce`	Haute (RFC ratifié, impact deliverability)
Publier `agent-card.json` conforme A2A v1	Haute (standard IANA, adoption en démarrage = avantage early)
Publier `llms.txt` à la racine	Moyenne (utile, mais pas un levier de trafic)
Implémenter Web Bot Auth (`http-message-signatures-directory`)	Élevée si vous émettez des requêtes agent, faible sinon
Publier MCP `/.well-known/mcp/...`	Faible (attendre stabilisation SEPs)
Publier `ai-plugin.json`	Aucune (déprécié 2024)

Le score Cloudflare est un indicateur, pas une fin. La vraie question est : quand un agent IA (humain ou logiciel) interroge votre marque, lui donnez-vous les éléments structurés pour vous comprendre, vous citer, et vous recommander ? Les fichiers /.well-known/ sont un signal parmi d’autres. Le contenu, le schema.org, le robots.txt IA, et la fraîcheur restent les leviers majeurs.

Cet article sera mis à jour à chaque évolution majeure des standards (publication finale du draft Web Bot Auth, merge SEP-1649, nouvelles données de Cloudflare). Date de dernière vérification : 25 avril 2026.

Score Agent Readiness : les 11 fichiers /.well-known/ à publier en 2026

Score Agent Readiness : les 11 fichiers /.well-known/ à publier en 2026

Pourquoi cet article maintenant

Qu’est-ce qu’un fichier /.well-known/ ?

Comment Cloudflare note l’agent readiness

Les 11 endpoints en 3 tiers

Tier 1 — RFC ratifiés à publier sans réserve

1. `/.well-known/security.txt` (RFC 9116)

2. `/.well-known/change-password`

3. `/.well-known/openid-configuration` et `/.well-known/oauth-authorization-server`

4. `/.well-known/mta-sts.txt` (RFC 8461)

5. `/.well-known/agent-card.json` (A2A Protocol)

Tier 2 — Draft IETF mais déjà en production

6. `/.well-known/http-message-signatures-directory` (Web Bot Auth)

Tier 3 — Propositions privées, statut variable

7. `/llms.txt` (racine, pas /.well-known/)

8. `/.well-known/mcp/server-card.json` ou `/.well-known/mcp` (MCP, draft)

9. `/.well-known/api-catalog` (RFC 9727, décembre 2024)

10. `/.well-known/oauth-protected-resource` (RFC 9728, octobre 2024)

11. `/.well-known/ai-plugin.json` (déprécié, à connaître)

Ce qui marche vraiment, ce qui ne marche pas

Ce qui marche

Ce qui ne marche pas (encore)

Checklist Shopify : que peut-on publier nativement

Comment auditer son score actuel

Données exclusives : qui crawle vraiment vos /.well-known/ en 2026

En résumé

Score Agent Readiness de Cloudflare : comprendre le test en 3 minutes

AEO (Answer Engine Optimization) : le guide 2026 pour apparaître dans ChatGPT, Perplexity et Google AI

Pourquoi le GEO est le nouveau CRO

Score Agent Readiness : les 11 fichiers /.well-known/ à publier en 2026

Pourquoi cet article maintenant

Qu’est-ce qu’un fichier /.well-known/ ?

Comment Cloudflare note l’agent readiness

Les 11 endpoints en 3 tiers

Tier 1 — RFC ratifiés à publier sans réserve

1. /.well-known/security.txt (RFC 9116)

2. /.well-known/change-password

3. /.well-known/openid-configuration et /.well-known/oauth-authorization-server

4. /.well-known/mta-sts.txt (RFC 8461)

5. /.well-known/agent-card.json (A2A Protocol)

Tier 2 — Draft IETF mais déjà en production

6. /.well-known/http-message-signatures-directory (Web Bot Auth)

Tier 3 — Propositions privées, statut variable

7. /llms.txt (racine, pas /.well-known/)

8. /.well-known/mcp/server-card.json ou /.well-known/mcp (MCP, draft)

9. /.well-known/api-catalog (RFC 9727, décembre 2024)

10. /.well-known/oauth-protected-resource (RFC 9728, octobre 2024)

11. /.well-known/ai-plugin.json (déprécié, à connaître)

Ce qui marche vraiment, ce qui ne marche pas

Ce qui marche

Ce qui ne marche pas (encore)

Checklist Shopify : que peut-on publier nativement

Comment auditer son score actuel

Données exclusives : qui crawle vraiment vos /.well-known/ en 2026

En résumé

Articles connexes

Score Agent Readiness de Cloudflare : comprendre le test en 3 minutes

AEO (Answer Engine Optimization) : le guide 2026 pour apparaître dans ChatGPT, Perplexity et Google AI

Pourquoi le GEO est le nouveau CRO

1. `/.well-known/security.txt` (RFC 9116)

2. `/.well-known/change-password`

3. `/.well-known/openid-configuration` et `/.well-known/oauth-authorization-server`

4. `/.well-known/mta-sts.txt` (RFC 8461)

5. `/.well-known/agent-card.json` (A2A Protocol)

6. `/.well-known/http-message-signatures-directory` (Web Bot Auth)

7. `/llms.txt` (racine, pas /.well-known/)

8. `/.well-known/mcp/server-card.json` ou `/.well-known/mcp` (MCP, draft)

9. `/.well-known/api-catalog` (RFC 9727, décembre 2024)

10. `/.well-known/oauth-protected-resource` (RFC 9728, octobre 2024)

11. `/.well-known/ai-plugin.json` (déprécié, à connaître)