Webshop gestart; SSL verbinding, links en sitemap

[timoenhilda]

Sinds kort zijn wij een webshop gestart. Het is een webshop voor een bepaald knaagdier waar wij al jarenlang in actief zijn.

Zo hebben we een fokkerij en een opvang. Daarbij een forum en binnenkort starten we ook met een weblog.

 

Voor dit knaagdier is er nog niet speciaal een webshop. Natuurlijk kun je de producten welke wij hebben (op 1 na) in de meeste online shops en ook in lokale dierenwinkels verkrijgen.

Daar wij al aardig bekend zijn kregen wij ook al snel bestellingen binnen.

Het begon eigenlijk een beetje als hobby (uiteraard wel geheel serieus wat betreft kvk, belastingdienst en administratie) maar nu werkt het best wel verslavend. Waar eerst 2 bestellingen per week leuk zijn/waren lijkt het nu steeds meer een uitdaging te worden om meerdere bestellingen per dag binnen te krijgen. Uiteraard heeft dit veel tijd nodig, en we zijn ons dan ook goed aan het inlezen. Maar over enkele dingen zou ik graag wat meer willen weten, waar ik met gewoon googlen niet uit kom.

En waar het eerst leuk was dat er een bestelling binnen kwam van vrienden, mede fokkers of klanten welke al het huisdier bij ons hadden aangeschaft, blijkt het nog veel leuker te zijn om van onbekende mensen een bestelling te krijgen.

 

Wij hebben de afgelopen dagen dan ook streng gekeken naar onze webshop en resultaten in google, en we zien nog behoorlijk wat puntjes waar we veel beter op kunnen scoren, en wat niet erg moeilijk zal zijn gezien er niet direct concurrentie is die die zoekwoorden gebruikt, maar waar wel op wordt gezocht.

 

Uiteindelijk als de webshop naar ons zin is, en google alle aanpassingen welke we hebben gedaan ook heeft opgepakt wil ik de site hier ook opgeven zodat jullie er naar kunnen kijken want we zijn natuurlijk erg benieuwd en trots.

 

Goed als eerste. Op dit moment hebben we nog geen Ideal. De enigste optie is betalen bij afhalen (wat veel gebeurd gezien we het knaagdier natuurlijk verkopen voor hobby vanuit onze fokkerij) en betalen per bankoverschrijving.

Ideal zouden we eerst helemaal weglaten gezien we niet veel inkomsten verwachtten en we daar meer werk en kosten van zouden hebben dan voordelen. Uiteindelijk zal dit ook wel gaan veranderen.

Maar vooralsnog dus die 2 eerder genoemde opties.

Mensen plaatsen het product in de winkelwagen en gaan de bestelling afronden. Nu zie ik in veel webshops dat het vanaf dat moment beveiligd is. Met SSL. Nu zijn wij dus niet thuis op het gebied van SSL en we vragen ons dan ook af, welke site is goed om een certificaat te kopen? Welk certificaat voldoet als er alleen gegevens over de bestelling + naam, adres, postcode en woonplaats + gebruikersnaam en wachtwoord en e-mailadres worden verzonden?

Ik kom vele aanbieders tegen, de een nog goedkoper en de ander nog duurder. Ze slaan met termen waar wij nog nooit van hebben gehoord. Wie kan ons hier van informatie voorzien of tips geven?

 

Dan: De website die jaren geleden is gebouwd heeft een CMS welke jaren geleden is gebouwd en heeft dan ook de standaard links.

Een categorie link naar de voeding is bijvoorbeeld:

http://www.domein.nl/winkel.php?id=1&cid=5

Nu lees ik dat dit beter bijvoorbeeld kan zijn:

http://www.domein.nl/voeding

 

Nu kan ik natuurlijk de programmeur benaderen en vragen of dit op 1 of andere manier omgebouwd kan worden. Maar is er niet een andere manier?

Volstaat bijvoorbeeld de optie om een map voeding aan te maken, en deze map een doorstuur scriptje met php te geven naar de eerder genoemde categorie? We hebben niet veel categorieën dus een aantal mappen aanmaken zou geen probleem zijn voor het werk. Maar voegt het ook iets toe aan de optimalisatie? Gaat dit zo werken, of neemt google dan alsnog de 'echte' url op?

 

Dan zaten we nog met de vraag over een sitemap. Een sitemap in xml kunnen we uploaden in de ftp en doorgeven aan Analytics. Volstaat dat,of moet er op de site ook een link met daarin een sitemap in html? Zoals ik op veel webshops tegen kom. Of is dat puur alleen voor bezoekers? En zoja, wordt dit ook daadwerkelijk gebruikt, wat is jullie ervaring daarmee?

 

En tot slot: We zijn bijvoorbeeld bekend met domeinnaam www.domeinnaam.nl nu staat daar alles op, en omdat daar alles inclusief het CMS geinstalleerd stond hebben we daar ook de webshop op gezet. Nu is dat dus een link geworden van index.php?id=88

Niet eenvoudig te onthouden. Dus voor klanten om te onthouden wordt dan ook www.domeinnaam.nl/webshop gebruikt en ook: www.domeinnaamwebshop.nl.

Nu merk ik dat de site veel wordt gelinkt (gelukkig!) maar mensen linken dus naar /webshop maar ook naar domeinnaamwebshop.nl en naar de echte url. Wat heeft dit nu als nadelen op de zoekmachine resultaten? Ziet google dat www.domeinnaamwebshop.nl hoort bij de echte webshop? Of hebben dit soort links dan gewoon helemaal geen functie en helpt dat niet qua SEO.

 

Het zijn heel wat vragen en ik heb al heel wat gelezen en geleerd op het forum maar op deze vragen zou ik toch graag adviezen van ervaren mensen lezen :)

[Maurice Valentijn]

Dit is een artikel die ik enige tijd geleden heb geschreven voor een online blog over webwinkels starten, wellicht heb je hier iets aan.

 

Een SSL-certificaat: welke kiezen? Wat zijn de voor- en nadelen?

Steeds meer webwinkel- en website-eigenaren krijgen te maken met persoonlijke informatie van klanten die wordt opgeslagen in een online database. De wet- en regelgeving in Nederland geeft hen de verplichting om zeer zorgvuldig met deze informatie om te gaan en ze goed te beschermen. Dit wordt op meerdere manieren gedaan, vooral door de juiste beveiliging, programmeer- en hostingtechnieken te gebruiken. In dit artikel ga ik in op slechts één van de beveiligingsmogelijkheden met betrekking tot het opslaan van persoonlijke informatie: het SSL-certificaat, dat gegevenstransport over het internet beschermt.

 

Er zijn meerdere certificatie-vormen voor Secure Sockets Layer (SSL), ieder met hun eigen kracht, doel en mogelijkheden. Ik heb de certificaten opgedeeld in de volgende, meest gebruikte vormen en zet de voor- en nadelen op een rijtje.

 

Verschillende certificaten

 

 

Lite SSL-certificaat

Dit is vaak de goedkoopste vorm van een SSL-certificaat; voor een euro of 30 (exclusief eventuele installatiekosten) heb je dit certificaat al in huis. Het beschermt uitsluitend de domeinnaam en geen subdomeinnamen. https://www.uwdomeinnaam.nl is dus wel ondersteund, maar https://submapnaam.domeinnaam.nl niet. Wil je de bescherming ook op andere subdomeinen dan het hoofddomein, dan moet je minimaal een wildcard DNS SSL-certificaat aanschaffen (zie hieronder).

 

Daarnaast is het certificaat niet te herinstalleren als het certificaat verloren gaat of als de website naar een andere server verhuist. In die gevallen moet je een nieuw certificaat aanvragen én betalen. Ook ondersteunt het Lite-certificaat geen mobiele websites; je website zal dus niet veilig via (steeds populair wordende) mobiele apparaten te bezoeken zijn.

 

Basis SSL-certificaat

Deze vorm is het meest verkochte SSL-certificaat. Het is vrijwel identiek aan het Lite SSL-certificaat, maar is zonder extra kosten (en binnen de abonnementsperiode) opnieuw aan te vragen in geval van verhuizing of verlies. De kosten van dit certificaat variëren van 35 tot 50 euro per jaar.

 

Professional SSL-certificaat

Het Professional SSL-certificaat onderscheid zich van de basis vorm door een iets zwaardere encryptie en de ondersteuning van mobiele websites. Via een mobiel apparaat zoals een iPhone of BlackBerry kunnen klanten je website dus veilig bezoeken en gebruiken. De kosten van dit certificaat lopen per aanbieder uiteen tussen 140 en 300 euro per jaar.

 

EV SSL-certificaat

Eén van de meest bekende vormen van SSL-certificaat is het EV SSL-certificaat, waarbij 'EV' de afkorting is voor 'Extended Validation'. Met dit certificaat ben je voorzien van alle eerder genoemde mogelijkheden, al zal met dit certificaat ook de browserbalk groen opkleuren en wordt je bedrijfsnaam daarin vermeld. De kosten van een EV-certificaat bedragen tussen 375 en 500 euro per jaar.

 

Het EV SSL-certificaat krijg je niet zomaar. Om het te kunnen bestellen en installeren worden jij en je onderneming 'gescreend'. De aanvraagperiode zal dan ook al snel drie tot vier weken in beslag kunnen nemen en je dient de nodige formulieren en informatie te verstrekken aan de leverancier van het SSL-certificaat.

 

Wildcard DNS-certificaat

Elke vorm van SSL-certificaat heeft tevens een vorm om wel de eerder aangehaalde subdomeinnamen ook via HTTPS te kunnen ondersteunen. De aankoopprijs is vaak het tien- tot twintigvoudige van de standaard SSL-certificaatvorm.

 

Voordelen van een SSL-certificaat

 

 

Bescherming van persoonlijke gegevens

Zoals verwacht zal, na correcte installatie, het gegevenstransport worden beschermd. Het College Bescherming Persoonsgegevens (CBP) ziet toe op deze vorm van bescherming en kan, indien van toepassing, in geval van inbraak boetes opleggen als je het transport van gegevens niet afdoende beveiligd hebt. Zie in dat kader ook de CBP Richtsnoeren: Publicatie van persoonsgegevens op internet.

 

Het biedt de bezoeker zekerheid en geeft vertrouwen

Als er een SSL-certificaat geïnstalleerd is, dan is dit zichtbaar in de browser waarmee de website bezocht wordt. Er wordt een slotje getoond en bij de uitgebreidere EV SSL-certificaten is zelfs de adresbalk van de browser groen van kleur.

Het verhoogt (vaak) omzet

Als je de beveiliging goed communiceert naar je potentiële klanten, zal het een mogelijke aarzeling bij bestellen of alleen al registreren weg kunnen nemen. Uiteindelijk kan dat het aantal registraties of verkopen verhogen.

 

Nadelen van een SSL certificaat

 

 

Je hebt een uniek IP-adres nodig en hosting die SSL-certificaten ondersteunt

Een SSL-certificaat kan uitsluitend worden geïnstalleerd als de webservertechniek dit ondersteunt en je domeinnaam is voorzien van een uniek IP-adres. Niet alle hosting providers kunnen dit aanbieden. Partijen die het ondersteunen vragen vaak een extra vergoeding voor het IP-gebruik. Laat je dus goed informeren door je eigen hosting provider, of doe dat zelfs nog voordat je een hostingcontract aangaat.

 

Terugkerende installatiekosten voor iedere abonnementsperiode

Een SSL-certificaat verloopt aan het einde van de overeenkomst-periode. Het certificaat is niet te verlengen en zal opnieuw moeten worden geïnstalleerd. Als je dat niet zelf kunt, dan zul je daarvoor een expert moeten inschakelen. Dat levert, naast de kosten voor het vernieuwde SSL-certificaat, een extra post voor het steeds weer opnieuw installeren op.

De websitetechniek moeten kunnen omgaan met het SSL certificaat.

Een SSL-certificaat installeren houd niet in dat je website direct beveiligd is. Er zullen vaak (veelal) kleine wijzigingen moeten worden toegepast in de techniek. Ook zullen er bestanden in een beveiligde map moeten worden geplaatst. Als dit eenmaal in orde is heb je hier geen omkijken meer naar.

 

Aandachtspunten

 

Overweeg je een SSL-certificaat te (laten) installeren, hou dan met een paar dingen rekening. Vraag allereerst je huidige hosting provider of hij SSL ondersteunt en kan leveren. Wees er ook zeker van dat je website een certificering op technisch niveau aankan. Werpen zowel de hosting provider als de techniek achter je website geen onoverkomelijke drempels op, dan moet je kiezen welk certificaat je wil gaan gebruiken. Laat prijs niet de enige factor zijn; bedenk ook in welke mate je de geboden beveiliging wilt uitstralen - bijvoorbeeld om daar vanuit marketingoogpunt je voordeel mee te doen.

 

Ga je starten met een webwinkel, of wil je overstappen omdat je hosting provider je op dit vlak niet naar tevredenheid kan helpen? Neem bij je keuze voor een nieuwe partij dan de mogelijkheden voor een (standaard voorzien) SSL-certificaat in je afweging mee. Een paar hosting providers bieden immers zogenaamde SSL hosting pakketten aan.

[leonrenkema]

Voor personalia en bankzaken wil je een sterke encryptie. Dus je zoekt naar een certificaat met minstens 128 bits encryptie zonder MD5 (want MD5 is gekraakt). Dit zou genoeg info moeten zijn om er een te kunnen aanschaffen. Als je meer info wilt, dan wordt het al heel gauw een technisch oninteressant verhaal. Stuur maar een PM als je toch meer wilt weten.

Verder moet de uitgever van het certificaat bekent zijn in alle moderne browsers. Als de browser de uitgever niet herkent, dan krijg je van de browser alsnog een veiligheidswaarschuwing. En dat is natuurlijk net wat je niet wilt. Je kunt aan de uitgever vragen hoe en wat.

 

Sorry, ik moet hier even inhoudelijk op reageren. 128 bits encryptie wordt al tijden niet meer gebruikt. Het meest eenvoudige certificaat wat ik gekocht heb ($5,-) gebruikt al 256 bits encryptie.

 

En dat MD5 gekraakt is, is veel te kort door de bocht. Nu denken lezers van je post dat als ze MD5 horen dat het gekraakt kan worden zonder dat ze weten dat MD5 een one-way hash is en geen encryptie. Waarschijnlijk worden de wachtwoorden van dit forum ook als MD5 hash opgeslagen. Dat het mogelijk is om een hash collision te berekenen zal ik niet ontkennen maar dit is niet eenvoudig en zeker niet voor simpele webshops van enige waarde.

 

De verschillen in een certificaat hebben voornamelijk te maken met de controle die ze uitvoeren, dus of jouw bedrijf echt bestaat en te vertrouwen is. De uitgifte van een certificaat heeft meer te maken met vertrouwen dan met de sterkte van de encryptie. Een "duur" certificaat kost meer omdat een mannetje een achtergrond controle gaat uitvoeren. Voor eenvoudige webshops heb je aan een 5 dollar certificaat genoeg en als je groter groeit kun je altijd nog investeren in een duurder certificaat.

[Koos Pol]

Sorry, ik moet hier even inhoudelijk op reageren. 128 bits encryptie wordt al tijden niet meer gebruikt. Het meest eenvoudige certificaat wat ik gekocht heb ($5,-) gebruikt al 256 bits encryptie.

 

Dan ben je het dus met me eens? ;)

 

En dat MD5 gekraakt is, is veel te kort door de bocht. Nu denken lezers van je post dat als ze MD5 horen dat het gekraakt kan worden...

...zal ik niet ontkennen maar dit is niet eenvoudig en zeker niet voor simpele webshops van enige waarde.

 

Het maakt helaas niet zoveel uit of het om een simpele webshop gaat of niet. Het gaat erom dat als je een site met md5 draait waar creditcard gegevens over de lijn gaan, of andere financieel interessante info je op dat moment op de radar van de internet maffia komt. Jouw site wordt gewoon gekopieerd. Logins vinden plaats, betalingstransacties vinden plaats, en de klanten zijn daarna hun geld kwijt. Dat jouw webshop een simpele webshop is maakt daarbij geen verschil. Het was al weer in 2008 dat een demo is gegeven met een echt, gekocht md5 certificaat dat is gebruikt om een een malafide website te hosten die een bonafide website deed voorkomen. Je wil echt niet dat dat jou overkomt.

 

[Zomaar iemand]

ik heb totaal geen verstand van de certificaten, daarom heb ik het overgelaten aan mijn hoster.

 

Die had mij in jip en janneke taal uitgelegd wat de verschillen waren. De duurdere waren iets beter en men kreeg een groene adresbalk etc.

Helaas weet ik niet meer preices wat ik heb gekozen, kan de email erover niet meer terugvinden.

Weet iemand misschien hoe ik dit kan nakijken, zonder mijn hoster lastig te vallen?

 

Hij heeft toen een totaal prijs gemaakt gemaakt incl installatie (ik werk met Magento en daardoor was het makkelijk te doen). Al om al had ik een hele scherpe prijs, dus wellicht is dit ook een idee voor jou. Veel goede hosters kunnen dit makkelijk regelen en een totaal prijs is vaak interessanter dan losse aanbieders/

 

 

edit ik heb het nagekeken ik heb dit, geen idee wat het betekend:

 

Subject = jcsl.nl

Subject Alternative Names = www.jcsl.nl

Issuer = PositiveSSL CA

Serial Number = EC2EA96540BD1D7FBC61ACF5A6DBB7C7

SHA1 Thumbprint = 02DC7D6B94383AFE066684258D4114B9E9925A47

Key size = 2048 bit

Signature algorithm = SHA1+RSA (good)

[Maarten]

Sorry, ik moet hier even inhoudelijk op reageren. 128 bits encryptie wordt al tijden niet meer gebruikt. Het meest eenvoudige certificaat wat ik gekocht heb ($5,-) gebruikt al 256 bits encryptie.

 

Dat is echt onzin. Vrijwel elk certificaat ondersteund 256 bits encryptie tegenwoordig, maar de encryptie wordt bepaald door de grootte van de private key, de gebruikte webserver en de browser. Indien de webserver of de browser geen 256 bit encryptie ondersteunen wordt er gewoon 128 bits encryptie gebruikt, ook bij jouw certificaat. Het is overigens ook gewoon nog steeds veilig.

 

Waarschijnlijk worden de wachtwoorden van dit forum ook als MD5 hash opgeslagen. Dat het mogelijk is om een hash collision te berekenen zal ik niet ontkennen maar dit is niet eenvoudig en zeker niet voor simpele webshops van enige waarde.

 

Eenvoudige wachtwoorden zijn heel simpel op te zoeken door de MD5 van het wachtwoord in Google in te voeren, je hebt dan zo het wachtwoord te pakken. Met het opslaan van wachtwoorden als MD5 kun je dus het beste 'salt' toevoegen, een stukje random code waardoor je MD5's niet gelijk worden aan alle andere MD5's.

 

Certificaten met MD5 worden door geen enkele provider verstrekt, dus je hoeft je als eindgebruiker daar echt geen zorgen over te maken.

[Maarten]

Die had mij in jip en janneke taal uitgelegd wat de verschillen waren. De duurdere waren iets beter en men kreeg een groene adresbalk etc.

Helaas weet ik niet meer preices wat ik heb gekozen, kan de email erover niet meer terugvinden.

Weet iemand misschien hoe ik dit kan nakijken, zonder mijn hoster lastig te vallen?

 

Je hebt een PositiveSSL certificaat van Comodo, via https://www.sslcertificaten.nl/SSLCheck?domain=jcsl.nl kun je alle gegevens bekijken.

 

Op onze website staat behoorlijk wat uitleg over de verschillen. In het kort heb je met een PositiveSSL certificaat een certificaat met domeinvalidatie, en dus een volledig vertrouwd certificaat en een veilige verbinding. Hierboven zitten de certificaten met bedrijfsvalidatie waarbij er ook bedrijfsgegevens in het certificaat worden opgenomen, en daarboven weer de certificaten met uitgebreide validatie waarbij je in de browser een groene adresbalk ziet. Die laatste is wel het duurst, maar doordat de validatieprocedure streng is weten klanten wel zeker dat ze op de goede website terecht zijn gekomen. Naast de groene adresbalk staan ook je bedrijfsgegevens in de adresbalk vermeld.

 

 

[Zomaar iemand]

Maar het is wel een goede dus? Met een encryptie van 2048 bit?

[Maarten]

Maar het is wel een goede dus? Met een encryptie van 2048 bit?

 

Je hebt een 2048 bit key, dat is goed inderdaad. De gebruikte encryptie is dan 128 of 256 bit, afhankelijk van de gebruikte webserver en browser. Niet alle browsers ondersteunen 256 bit encryptie.

 

Het onveilige SSLv2 staat ook uit, dat is een stuk belangrijker dan 128 of 256 bits encryptie. De SSLCheck op https://www.sslcertificaten.nl/SSLCheck controleert daar ook op en ik raad iedereen aan om er voor te zorgen dat SSLv2 op de server uitgezet wordt. Je krijgt een waarschuwing te zien als SSLv2 wel aanstaat.

 

SSL is overigens een onderdeel van de beveiliging. SSL zorgt voor de beveiliging van de verbinding, maar ook de beveiliging van bijvoorbeeld je webserver moet natuurlijk goed zijn.

[Raoul K]

Maar het is wel een goede dus? Met een encryptie van 2048 bit?

 

Waartegen wil je je beveiligen? Of anders, waarom (denk)/heb je dat ?

[Zomaar iemand]

Ik heb het vooral voor de show. Het is mooie marketing voor weinig geld.

Ik heb geen idee hoe het werkt of wat doet. Wat ik er in grote lijnen van begrijp dat men nu de gegevens veilig via internet vrestuurd.

 

Ik gebruik het trouwens alleen in de webshop, niet bij het versturen van het contact formulier of bij de aanvraag van offertes.

[Raoul K]

Ik heb het vooral voor de show. Het is mooie marketing voor weinig geld.

Ik heb geen idee hoe het werkt of wat doet. Wat ik er in grote lijnen van begrijp dat men nu de gegevens veilig via internet vrestuurd.

 

Ik gebruik het trouwens alleen in de webshop, niet bij het versturen van het contact formulier of bij de aanvraag van offertes.

 

Mooi en eerlijk antwoord! :) I like it

[Maarten]

Ik gebruik het trouwens alleen in de webshop, niet bij het versturen van het contact formulier of bij de aanvraag van offertes.

 

Volgens het College Bescherming Persoonsgegevens ben je wettelijk verplicht om persoonlijke gegevens met een SSL certificaat te beveiligen. Als je toch al een certificaat hebt zou ik hem ook voor je formulieren gaan gebruiken, dat is dan een kleine moeite...

[Zomaar iemand]

Ik zal het bij de volgende update eens vragen aan mijn scripter. Ik kan een hoop zelf, maar hiervan heb ik geen kass gegeten.

[RNS-Sieraden]

Wat ben ik blij dat ik hier een account heb aangemaakt.

 

Na dagen zoeken welke SSL er nu eigenlijk nodig heb ik dan eindelijk een duidelijk beeld gekregen.

Elke test die ik deed gaf aan dat je 1800 euro of iets in die strekking moest gaan betalen.

 

Voor nu doen we nog helemaal niks met Ideal en het meeste gaat via vooruit betalen.

Uit bovenstaande begrijp ik dat het SSL CA een goede keuze is om de gegevens van de klant te waarborgen als ze een account aanmaken en willen afrekenen.

 

Top voor iedere bijdrage, dit wordt de basis voor het zoeken van geschikte hosting.