Archief - SSL certificaat: verschil in prijs?
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
bealzebub
Legacy Member
De verschillen zijn:
Vooral de laatste twee zijn te overwegen, maar bv. de tweede bv. is tegenwoordig meer zever in pakjes (iedereen kan lange sleutels aanmaken en de extra veiligheid kan je echt wel in vraag stellen) en het derde kan gaan over hoeveel de CA uitbetaalt als je door hun fout (zij worden gehackt of whatever) schade lijdt.
Hoe sterker de certificaatuitgever het bedrijf/de persoon achter het certificaat gaat verifiëren, hoe meer vertrouwen een gebruiker kan hebben als het bijvoorbeeld om centen gaat. Voor sommige online activiteiten zal het zelfs verplicht zijn een bepaald level van certificatie te behalen voor je legaal in orde bent. Korte info (en via google search een pak extra info) op bv Extended Validation-certificaat - Wikipedia
Tegenwoordig worden al heel wat van de goedkope certificate authorities vertrouwd door alle browsers etc. Vroeger was dat minder het geval. Nu, het gebeurt nog altijd dat zeer goedkope CA eigenlijk untrusted zijn in één of meerdere omgevingen waarin ze gebruikt worden. Meer info op Comparison of SSL certificates for web servers - Wikipedia, the free encyclopedia
Wat jij je moet afvragen is het doel van je certificaat: gaat het enkel om end-to-end encryptie of wil je dat het certificaat jouw gebruiker vertrouwen geeft in het bedrijf dat erachter zit (zoals bijvoorbeeld bij https bij online banking, dat zijn die "heel dure" certificaten).
Het is een heel uitgebreide materie, maar voor de basic SSL zal zowat alles volstaan zolang de root CA maar trusted is (zie die wikipedia pagina daarvoor). Het ene certificaat is zeker het andere niet en heel dikwijls betaal je voor een stuk ook de naam (nv Digicert of GlobalSign) omdat die naam vertrouwen schept.
StartSSL heeft een gratis optie en voor de rest hebben ze democratische prijzen ook. Zij zijn ook trusted. Je zal misschien bewijsstukken moeten doormailen/doorfaxen die bewijzen dat je als registrant bestaat (BTW-gegevens, rechtspersoon identiteitskaart, …
.
- Prijs
- Niveau van encryptie (aantal bits voor de sleutel)
- Aftersales support
- Scope (enkel één URI, volledig domein met subdomeinen etc.)
- Hoe ver men gaat in certificaat validatie
- Hoe sterk wordt de root CA (de uitgever van het certificaat) vertrouwd
Vooral de laatste twee zijn te overwegen, maar bv. de tweede bv. is tegenwoordig meer zever in pakjes (iedereen kan lange sleutels aanmaken en de extra veiligheid kan je echt wel in vraag stellen) en het derde kan gaan over hoeveel de CA uitbetaalt als je door hun fout (zij worden gehackt of whatever) schade lijdt.
Hoe sterker de certificaatuitgever het bedrijf/de persoon achter het certificaat gaat verifiëren, hoe meer vertrouwen een gebruiker kan hebben als het bijvoorbeeld om centen gaat. Voor sommige online activiteiten zal het zelfs verplicht zijn een bepaald level van certificatie te behalen voor je legaal in orde bent. Korte info (en via google search een pak extra info) op bv Extended Validation-certificaat - Wikipedia
Tegenwoordig worden al heel wat van de goedkope certificate authorities vertrouwd door alle browsers etc. Vroeger was dat minder het geval. Nu, het gebeurt nog altijd dat zeer goedkope CA eigenlijk untrusted zijn in één of meerdere omgevingen waarin ze gebruikt worden. Meer info op Comparison of SSL certificates for web servers - Wikipedia, the free encyclopedia
Wat jij je moet afvragen is het doel van je certificaat: gaat het enkel om end-to-end encryptie of wil je dat het certificaat jouw gebruiker vertrouwen geeft in het bedrijf dat erachter zit (zoals bijvoorbeeld bij https bij online banking, dat zijn die "heel dure" certificaten).
Het is een heel uitgebreide materie, maar voor de basic SSL zal zowat alles volstaan zolang de root CA maar trusted is (zie die wikipedia pagina daarvoor). Het ene certificaat is zeker het andere niet en heel dikwijls betaal je voor een stuk ook de naam (nv Digicert of GlobalSign) omdat die naam vertrouwen schept.
StartSSL heeft een gratis optie en voor de rest hebben ze democratische prijzen ook. Zij zijn ook trusted. Je zal misschien bewijsstukken moeten doormailen/doorfaxen die bewijzen dat je als registrant bestaat (BTW-gegevens, rechtspersoon identiteitskaart, …
.adrianhates
Legacy Member
http://xolphin.nl
Daar hebben ze er van de meeste leveranciers en aan goede prijzen, met een goede support!
De prijsverschillen heeft bealzebub mooi op een rij gezet, veel info daarover vind je ook op de Xolphin website.
Daar hebben ze er van de meeste leveranciers en aan goede prijzen, met een goede support!
De prijsverschillen heeft bealzebub mooi op een rij gezet, veel info daarover vind je ook op de Xolphin website.
Atrox
Legacy Member
adrianhates zei:jep, kheb ook de Comodo positiveSSL in gebruik, tevreden vanIk had wel wat problemen met mijn certificaat op mobile devices, maar support heeft dat goed opgelost
Thanks, Positive SSL it is dan. Even mijn hostingbedrijf contacteren voor de installatie. Ik snap er zelf de ballen van
bealzebub
Legacy Member
Met MultiSafePay heb je enkel beveiligde externe payment processing en weet je gebruiker dat MultiSafePay legit is.
Daarmee heb je nog niet door een derde partij op z'n minst het bestaan van jouw bedrijf laten verifiëren. Een company validated SSL certificaat zal dus dienen om vertrouwen te scheppen bij je gebruiker.
Daarbij komen dan ook nog eens subjectieve gevoelens in de zin van: "Ik moet hier mijn login en paswoord in cleartext doorsturen op een site waar ik dan nog eens geld op uitgeef". Dan maakt het echt niet uit dat je payment processing extern is. Misschien niet bij iedereen, maar toch zeker bij velen.
Voor mezelf weet ik één ding: als ik ergens geld uitgeef online en ik ken de site niet, dan check ik het certificaat (ook de gegevens ervan). Zijn er geen of zijn de gegevens fishy ("S. Cam LLC, bestuurder Jane Doe, gevestigd in Oekraïne") dan ben ik direct weg.
Daarmee heb je nog niet door een derde partij op z'n minst het bestaan van jouw bedrijf laten verifiëren. Een company validated SSL certificaat zal dus dienen om vertrouwen te scheppen bij je gebruiker.
Daarbij komen dan ook nog eens subjectieve gevoelens in de zin van: "Ik moet hier mijn login en paswoord in cleartext doorsturen op een site waar ik dan nog eens geld op uitgeef". Dan maakt het echt niet uit dat je payment processing extern is. Misschien niet bij iedereen, maar toch zeker bij velen.
Voor mezelf weet ik één ding: als ik ergens geld uitgeef online en ik ken de site niet, dan check ik het certificaat (ook de gegevens ervan). Zijn er geen of zijn de gegevens fishy ("S. Cam LLC, bestuurder Jane Doe, gevestigd in Oekraïne") dan ben ik direct weg.
Fransz
Legacy Member
Als ik zie hoe de paswoorden in de databank terecht komen (245sdcfszdfv4s65df465sf46s1fsfsfd54f6sd54f) dan heb ik toch niet echt bang. Of ben ik daar verkeerd in? Betalen met Visa vereist ook nog steeds een PIN code, plus ze hebben mijn VISA kaart niet in hun hand (de eventuele hackers)
bealzebub
Legacy Member
Totaal naast de kwestie.
- Logins en paswoorden kunnen relatief gemakkelijk gesniffd worden tussen jouw kant en de servers zijde, zonder access op één van beiden. SSL gaat de gegevens tussen die twee endpoints encrypten, dus sniffen is nutteloos. Dat ze als een hash opgeslaan worden op de server heeft niets te maken met het traject tussen client en server.
- Je geld terugeisen na een aankoop een frauduleuze site is niet zo makkelijk. Bij Visa zelf zit je met een franchise (die dikwijls hoger is dan het aankoopbedrag) en bij veel payment handlers is het al helemaal onmogelijk, zeker als je via "Verified by Visa" met je DigiPass de aankoop gevalideerd hebt. Een validated SSL, waarbij de CA een certificaat alleen maar uitgeeft nadat de aanvrager bewijs geleverd heeft van identiteit en bestaan van het bedrijf zorgt ervoor dat er minder kans op bedriegen is. De aanvrager is immers bekend. Zou jij frauderen als je gegevens rechtstreeks opvraagbaar zijn?
Fransz
Legacy Member
Zeer concreet: hoe kan een hacker een tv kopen van €2.000 met mijn login gegevens als hij mijn fysische Visa kaart niet heeft? Ik heb het altijd geweten dat je daar nog eens jouw Visa moet valideren met zo'n bakje, zoniet gaat de betaling niet door. Of is dit niet zo bij alle webshops?
bealzebub
Legacy Member
Fransz zei:
Een hacker kan dat niet, jij kan dat doen op een frauduleuze site of een site die gehijackt is door een scammer. Jij kan een nieuwe TV van €2000 kopen op een site die via een DNS entry overgenomen is door een scammer. Alles ziet er volledig correct uit: de layout van de site, de URL zelf, payment gateway, omschrijving, … Je betaalt echter op een rekening die niet van de webshop is waar je denkt op te zitten.
Wanneer de site een certificaat heeft van een trusted CA heb je een pak meer zekerheid dat het bedrijf achter de site legit zal zijn. De CA heeft immers de gegevens die in het certificaat opgenomen zijn op de één of andere manier geverifieerd. Daarom dat die extended validations zoveel duurder zijn: de CA moet veel meer gegevens checken en heeft dus meer werk, maar de extra garantie die ze bieden zal zeker meer vertrouwen en mits goeie marketing extra sales geven.
Wanneer je koopt op een webshop zonder certificaat, zelfs al worden betalingen uiteindelijk afgehandeld door een payment gateway (die wel HTTPS heeft), kan jij nooit weten aan wie je koopt en moet je bij bedrog ook niet gaan klagen bij Visa of de payment gateway. Je moet dan proberen je geld terug te vorderen van de site eigenaar of bij de scammer die de site (bv. op DNS niveau, daarom niet op serverniveau) overgenomen heeft. Veel geluk daarmee.
Samengevat, de belangrijkste redenen voor een certificaat op jouw webshop, zelfs al handel je betalingen niet zelf af:
- Versleuteling van de communicatie
- Bescherming tegen manipulatie van de communicatie (man in the middle attack)
- Garanderen dat wat je klant ziet wel degelijk van jou komt, wat vertrouwen schept
Nu, gans deze discussie is eigenlijk totaal overbodig, want zowel in België en Nederland ben je min of meer wettelijk verplicht. Hier geldt de wet Bescherming persoonsgegevens, artikel 13, die zegt dat er passende technische en organisatorische maatregelen moeten aanwezig zijn om de persoonsgegevens te beveiligen. Het gaat hier dus al om "persoonsgegevens", zelfs niet over betalingsgegevens. Het feit dat je een naam hebt is dus al "persoonsgegevens". Er wordt niet expliciet gezegd dat SSL hier een vereiste is, maar daar komt het wel op uit. Je hebt nog alternatieven zoals RADIUS, maar het draait altijd rond zowel trust en security.
En dat er nog veel web apps zijn die geen SSL gebruiken terwijl ze dat beter wel zouden doen is zeker een feit. Niemand zal je zeggen dat je dat moet doen, jij moet weten wat je verplichtingen zijn (of iemand zoeken die het jou kan zeggen). Zolang er niets gebeurt zal je geen last hebben, maar als het ooit fout loopt zal je voor de rechtbank niet moeten zeggen dat je het niet wist, je zal moeten aantonen dat je voldoende maatregelen genomen hebt om de wet te respecteren.
Er is trouwens genoeg informatie over te vinden via een simpele google search.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.