Welke SSL voor webshop?

[bobo]

Voor mijn nieuwe webshop wil ik een SSL certificaat aanschaffen. EV is voor mijn startup echt wat te prijzig, dus

ik twijfel nu tussen 2 opties:

 

Verisign® Trust™ Seal en Thawte SSL123.

Verisign trust seal heeft een goede naam maar is 40 Bit - 256 Bit,

terwijl Thawte 128-256 Bit is (veiliger, van wat ik begrijp_, net wat minder bekend dan Verisign, maar flink goedkoper.

 

Welke van deze 2 bevelen jullie aan? Of heeft het voor mijn webshop eigenlijk helemaal geen zin om hierin te investeren als ik geen SSL met EV koop? Graag wat hulp, het duizelt me namelijk :)

[Spanish Connection]

Ik zou een EV (Extended Validation) SSL certificaat nemen, dmv de groene adresbalk kunnen je klanten dan snel zien dat je een beveiligde verbinding hebt.

 

Groeten

Joost

 

Ps. volgens mij kan je beter even contact opnemen met dit hl lid.

[Joost Vaessen]

Ik lees regelmatig dat een openssl voldoende is, ook voor IDEAL betalingen. Kan iemand dit bevestigen/ontkrachten?

[Wouter Hol]

Als je OpenSSL goed configureert dan is dat net zo goed als elke andere SSL verbinding. Ik denk dat je voor die paar tientjes die een SSL certificaat van een bedrijf kost je jezelf beter de moeite van OpenSSL bespaart.

[lvl]

"Een openssl" certificaat bestaat niet, OpenSSL is een framework/library voor encryptie.

 

Wat je zelf kan doen met behulp van OpenSSL is een zogenaamd 'self signed certificate' genereren, maar om je website via SSL/HTTPS te beveiligen is dit ongeschikt: zo'n certificaat zal bij iedere browser een hoop waarschuwingen en foutmeldingen veroorzaken.

 

Verder heeft het aanschaffen van een 'gewoon' (niet-EV) certificaat zeker zin! De encryptie die een 'gewoon' certificaat biedt is precies hetzelfde als bij een EV-certificaat. Het enige verschil zit 'm in hoe streng er gecontroleerd wordt of degene die het certificaat voor een website aanvraagt ook bevoegd is om dit te doen; en die strengere controle zie je terug in de prijs. Of eindgebruikers überhaupt het verschil zouden opmerken tussen de twee is maar de vraag.

 

Overigens biedt www.startssl.com 100% gratis SSL certificaten aan (128/256), dus kijk daar eerst eens naar voordat je de portemonnee trekt :) Termen als "Verisign® Trust™ Seal" zijn voor 99% marketing onzin, een certificaat (met dezelfde specs) van bedrijf A is precies hetzelfde als die van bedrijf B!

[Jazzy]

Als consument kijk ik werkelijk nooit naar de uitgever van een certificaat, eerlijk gezegd controleer ik niet eens of de uitwisseling van gegevens via SSL verloopt. Zeg niet dat ik het niet belangrijk vind, maar dat ik er als consument niet echt mee bezig ben. Het zijn eerder andere dingen waardoor ik twijfel aan de veiligheid, bijvoorbeeld opvallend lage prijzen, ontbreken van contactgevens, slecht Nederlands/Engels, etc.

 

En dan reken ik mezelf niet eens tot de gemiddelde consumenten, ik ben een techneut die veel met beveiligde websites te maken heeft. Maar ook in die rol zie ik zelden toegevoegde waarde in een EV certificaat van Thawte of Verisign ten op zichte van een goedkoop certificaat van Comodo en dergelijke. Ik denk dat het anders is als je Paypal, Gmail, Ebay of Rabobank heet en je serieus rekening moet houden met man-in-the-middle attacks.

[Kena]

Ik gebruik Thawte maar geef Jazzy gelijk: geen consument let er op wat voor een certificaat jij gebruikt.

 

 

[Derek-Jan]

Ik haal mijn certificaten bij https://www.sslcertificaten.nl/ en heb voor mijn webshops een standaard certificaat domein validatie voor zo'n 12 euro.

 

Volgens mij worden er wettelijk geen eisen gesteld aan het soort certificaat wat je gebruikt maar dien je bepaalde delen van je shop wel te voorzien van een certificaat beveiligde verbinding (iemand bron??).

 

Ik doe gewoon mijn hele shop achter het certificaat en hoop dat dit mijn bezoekers een bepaald vertrouwen geeft.

 

Om wat te testen heb ik één van mijn sites (de onderste in mijn signature) van een certificaat voorzien. Maar aangezien die ook bepaalde gegevens van een niet beveiligde omgeving haalt geeft het certificaat niet aan dat het volledig veilig is ( Klik maar eens op de certificaat gegevens.) Dus als je het doet, zorg dan wel dat je het goed doet anders heeft het een tegengestelde werking, klanten kunnen namelijk denken dat er iets 'gehackt' is.

 

 

[Wouter Hol]

Volgens mij worden er wettelijk geen eisen gesteld aan het soort certificaat wat je gebruikt maar dien je bepaalde delen van je shop wel te voorzien van een certificaat beveiligde verbinding (iemand bron??).

Link heb ik zo even niet bij de hand, maar je moet privacy gevoelige gegevens, zoals bijvoorbeeld adressen van je klanten, op een zo veilig mogelijke manier behandelen en beschermen. Daar vloeit dus de beveiligde verbinding uit voort.

Ik doe gewoon mijn hele shop achter het certificaat en hoop dat dit mijn bezoekers een bepaald vertrouwen geeft.

Een beveiligde verbinding is wel een stuk trager dan een onbeveiligde verbinding. Kan een reden zijn om een groot deel van je shop niet beveiligd te laten zijn.

Om wat te testen heb ik één van mijn sites (de onderste in mijn signature) van een certificaat voorzien. Maar aangezien die ook bepaalde gegevens van een niet beveiligde omgeving haalt geeft het certificaat niet aan dat het volledig veilig is ( Klik maar eens op de certificaat gegevens.) Dus als je het doet, zorg dan wel dat je het goed doet anders heeft het een tegengestelde werking, klanten kunnen namelijk denken dat er iets 'gehackt' is.

In sommige browsers, met name icm. bepaalde virusscanners of andere beveiligingsoftware, krijgt de bezoeker in dat geval enorm groot "deze site is niet veilig!" te zien met de optie om de site direct te verlaten. Om de site toch te kunnen zien dien je tot tweemaal of driemaal toe te bevestigen dat je de "risico's" snapt en bereid bent te nemen om de site toch te zien. Dat wil je niet. Wij hadden dit probleem korte tijd met de like button van facebook, die we toen vanaf een onbeveiligde verbinding binnen lieten komen.

[R.I.P. - Benm]

Ik lees regelmatig dat een openssl voldoende is, ook voor IDEAL betalingen. Kan iemand dit bevestigen/ontkrachten?

 

Daar nog even op terugkomend: Dat kan ik wel bevestigen, je kunt nl self-signed certificaten gebruiken voor je connectie met ideal advanced. Deze worden alleen gebruikt voor de verbinding tussen jouw webserver en die van de bank. Via deze beveiligde verbinding meld je transacties aan, en haal je ook de status-feedback op.

 

Klanten doen hun betaling gewoon via de server van hun eigen bank en de daar aanwezige certificaten. Hun login gegevens worden dus nooit via het certificaat dat je upload versleuteld.

 

 

[eentje]

In principe is elk SSL certificaat voldoende. Je moet alleen kijken of het certificaat geschikt is voor jou situatie.

 

De EV geeft inderdaad een groene adresbalk, de anderen geven een blauwe adresbalk.

 

Het versleutelen van privacygevoelige informatie komt voort uit de Wet bescherming persoonsgegevens.

[lvl]

Als consument kijk ik werkelijk nooit naar de uitgever van een certificaat, eerlijk gezegd controleer ik niet eens of de uitwisseling van gegevens via SSL verloopt.

 

Als consument (met een technische achtergrond) zal ik ook nooit gaan kijken naar de precieze uitgever van een certificaat, maar ik let toch zeker wel op of een webwinkel SSL gebruikt of niet.

 

De gehele website achter SSL is niet nodig (maar kan ook geen kwaad), maar vanaf het checkout moment, als er NAW of inloggegevens getoond of gevraagd worden, is het wel een must. Ik denk dat in de praktijk echter minder dan 50% van de webwinkels die ik voorbij zie komen dit daadwerkelijk doet..