Welk SSL Certificaat voor mijn webwinkel?

[Barr76]

L.s,

Inzake SSL beveiliging:
er zijn een aantal types: DV SSL, OV SSL en EV SSL.

Nu heb ik op mijn webshop DV SSL, naar ik mag aannemen het meest gebruikelijke én algemene op SSL gebied.

Aangezien ik achter de schermen al geruime tijd bezig ben met de beveiliging ben ik ook aan het rondneuzen om de wat minder algemene puntjes aan te passen.
Zodoende kwam ik ook op het SSL certificaat terecht.

Aangezien een EV en OV SSL wat kosten met zich meebrengt vraag ik me af of het de moeite loont t.o.v. een DV SSL.
Zou bijvoorbeeld een klant het uberhaupt opmerken als je een EV SSL hebt? 
Zijn er voordelen aan een EV SSL verbonden? (behalve wellicht iets hoger in google?)
Kortom: loont het de moeite??

Wie kan er e.e.a. uit de doeken doen?

 

9 augustus 2021 aangepast door Norbert Bakker
Titel aangepast

[Hans van den Bergh]

Ik laat deze zeer vraag vol jargon (nog even) open, wellicht dat iemand hier jou verder kan helpen,  maar het lijkt mij beter dat je deze vraag op een technisch forum stelt.

[Norbert Bakker]

Beste Barr,

 

Ik heb de titel van jouw vraag iets verduidelijkt. Voor een leek is anders niet duidelijk dat je het over diverse soorten beveiligingscertificaten voor websites hebt. 

 

Op zich wel een vraag die past op dit  forum, inhoudelijk niet anders dan een vraag naar welk boekhoudpakket of  welke verzekeringen je het beste kan gebruiken voor je bedrijf. Echter: ik denk dat je je vraag beter kunt stellen op het webwinkelforum: daar zijn meerdere topics over SSL certificaten  

[Rob H.]

Beste Barr76,

 

Een klant zal niet snel kijken naar het type SSL, maar enkel naar het feit of je er wel of geen hebt. Maar daar voldoet je website al aan.

 

Google zal je alleen op basis van een wijziging in certificaat ook niet hoger ranken in Google. 

 

Bij de meeste hostingpartijen heb je tegenwoordig gratis DV SSL. Voor overige certificaten (EV en OV) kun je bij andere partijen terecht zoals https://www.sslcertificaten.nl/ 

 

 

[Ward van der Put]

Op zich maakt een strenger SSL-certificaat je website inderdaad veiliger.

 

Echter, zo'n certificaat staat niet op zich, maar is een schakel in een groter geheel. Ik denk, heel praktisch, dat je op het moment van schrijven dat geld beter kunt uitgeven aan het optimaliseren van je security headers.

 

💡 Algemene tip voor alle ondernemers met een website: security headers kun je hier testen.

[Barr76]

Op 9-8-2021 om 08:54, Norbert Bakker zei:

Beste Barr,

 

Ik heb de titel van jouw vraag iets verduidelijkt. Voor een leek is anders niet duidelijk dat je het over diverse soorten beveiligingscertificaten voor websites hebt. 

 

Op zich wel een vraag die past op dit  forum, inhoudelijk niet anders dan een vraag naar welk boekhoudpakket of  welke verzekeringen je het beste kan gebruiken voor je bedrijf. Echter: ik denk dat je je vraag beter kunt stellen op het webwinkelforum: daar zijn meerdere topics over SSL certificaten  

Wellicht dat het geen geschikte vraag voor Higherlevel is.
Anderzijds: in ondernemersland is het bar slecht gesteld met de veiligheid van websites/webshops, de veiligheid voor klanten en ondernemer doet er blijkbaar niet toe
Ik verbaas me elke dag weer...de voorkant van een site ziet er vaak leuk uit en als je even iets verder achter de schermen kijkt dan is 't dramatisch gesteld.
(daarom doe ik ook alles zelf, ik vertrouw een ander er niet op dat de site naar mijn wensen/eisen wordt gebouwd)
Het is dus niet verkeerd om eens aandacht aan te geven aan de veiligheid van webshops/sites!

 

 

Op 9-8-2021 om 09:00, Ward van der Put zei:

Op zich maakt een strenger SSL-certificaat je website inderdaad veiliger.

 

Echter, zo'n certificaat staat niet op zich, maar is een schakel in een groter geheel. Ik denk, heel praktisch, dat je op het moment van schrijven dat geld beter kunt uitgeven aan het optimaliseren van je security headers.

 

💡 Algemene tip voor alle ondernemers met een website: security headers kun je hier testen.

Het groter geheel is zeker waar.
Met alleen een EV SSL kom je er niet.

Inzake security headers: mijn status is A, op weg naar A+  (moet alleen nog de HSTS nog even doen)
Maar er zijn meer opties zoals PHP versie verbergen, login pagina verbergen (je wilt niet weten hoe vaak dat nog gewoon te vinden is) etc etc etc.
Wederom: het grote geheel :) 

(en op de website securityheaders.com uit de post van Ward van der Put: als je je site gaat testen: onder "scan" staat "hide results".
Vink die voor het testen even aan, anders komt jouw site mét status in de lijst op de homepage van die site. )

[Norbert Bakker]

Op 9-8-2021 om 10:16, Barr76 zei:

Anderzijds: in ondernemersland is het bar slecht gesteld met de veiligheid van websites/webshops, de veiligheid voor klanten en ondernemer doet er blijkbaar niet toe

 

Veiligheid doet er zeker toe, maar beveiliging - zowel fysiek als digitaal - is altijd het ondergeschoven kindje van ieder bedrijf of ondernemer: het zijn de "extra kosten"  die niet of niet genoeg begroot zijn o.a. omdat ze geen onderdeel zijn van het primaire proces zelf, maar van de maatregelen om dat primaire proces beschikbaar te houden. 

 

Met de AVG en PSD2 is er meer aandacht gekomen voor beveiliging van persoonsgegevens en betalingsverkeer, maar de grootste groei komt van de aandacht door criminelen: slecht beveiligde webwinkels zijn eenvoudig leeg te roven,  data te gijzelen of de website over te nemen voor phishing. 

 

Op 9-8-2021 om 10:16, Barr76 zei:

daarom doe ik ook alles zelf, ik vertrouw een ander er niet op dat de site naar mijn wensen/eisen wordt gebouwd

 

Tja... uiteindelijk levert ook dat  een vorm van valse veiligheid op: wie zegt dat jij security beter (en indien nodig sneller)  kan regelen dan specialisten die dagelijks de ontwikkelingen bijhouden? Je bent webwinkelier, geen security specialist. 

 

[Barr76]

Norbert BakkerHet ondergeschoven kindje is absoluut waar, niets tegen in te brengen.
(vorige week was er nog leuk een item in het nieuws, nationale crisis in aantocht i.v.m cybersecurity, bedrijven die plat komen te liggen etc)
Ik vrees dat de ogen bij de ondernemers nog niet open gaan.

Inzake het zelf maken en onderhouden van de website, dat kan tot valse veiligheid leiden. Geheel mee eens.
Ik ben géén cybersecurity expert maar ik lees me behoorlijk in en ik durf te stellen dat mijn site in elk geval in de basis (en meer ;) ) op de orde heeft (zoals bijv. bovengenoemde security headers)

Het lijkt me dat een extern bedrijf juist méér een valse veiligheid biedt. Ik weet wat ik doe en gedaan heb.
Je betaalt er voor, je gaat er vanuit dat die jongens hun werk doen...daar zijn ze tenslotte voor.
Het blijkt dat ze de voorkant altijd wel leuk maken, de rest doet er niet toe.

Even iets offtopic:
ga voor de lol eens rondneuzen in het portfolio van diverse webbouwers en kijk eens in hoeverre er voldaan is aan de wettelijke eisen m.b.t. een webshop welke die firma gemaakt heeft.
Een webshop laten voldoen aan de wettelijke eisen (daar zijn die firma's toch óók voor??) is vrijwel altijd al teveel moeite voor zo'n webknutselaar.
Laat staan dat er aandacht besteed wordt aan beveiliging.

(ik hoor van diverse webbouwers dat ze er óf geen weet van hebben (klant wil een site, die krijgt hij) of dat de webbouwers wel weet van de regels hebben "maar de klant vraagt er niet om" en dat soort onzinsmoesjes. De klant komt volgens mij juist bij de webbouwer omdat hij dat soort zaken niet weet)

Ik had afgelopen weekend een collega uit het midden van het land op de koffie, heb nadien even zijn site bekeken...naar eigen zeggen is én was hij doorlopend veel geld kwijt aan onderhoud en security van zijn site...en dan zie je PHP versie 7.0.33 (oude versie en dan ook nog eens zichtbaar welke PHP je hebt..dat zijn al 2 hele dikke missers)
Waar betaal je dan in godnaam voor als zelfs een simpele PHP versie (bij je hosting even een vinkje omzetten van versie 7 naar versie 8, 1 minuut "werk") al niet bijgehouden wordt?? 
Dan kan je beter zelf maar aan de slag.... 

[DaMedia]

Op 9-8-2021 om 12:40, Barr76 zei:

Waar betaal je dan in godsnaam voor als zelfs een simpele PHP versie (bij je hosting even een vinkje omzetten van versie 7 naar versie 8, 1 minuut "werk") al niet bijgehouden wordt?? 

Helaas gaat dat niet altijd zo gemakkelijk. Er zijn webshops die alleen draaien op oudere php-versies en waarbij het omzetten van de webshop te duur is voor de eigenaar.

Zal overigens niet alleen voor webshops gelden, ook voor alle php-gebaseerde systemen die nog zijn gebaseerd op php5.4 of eerder.

[Barr76]

DaMedia wederom volledig met uw reactie eens.
Maar daar had ik ook al rekening mee gehouden.
In het geval van de site van mijn collega: de betreffende domeinnaam is in de eerste week van 2018 geregistreerd.
Het lijkt me dus compleet overbodig om met zo'n "verse" site nog met versie 7.0.33 te leuren.

Daarnaast ben je als webshop, naar mijn beste weten :), ook verplicht om voor een veilige website te zorgen.
Geld danwel kosten is geen argument, dan moet je geen webshop beginnen.
 

[zzpegel]

https://www.ssl.com/guide/ssl-best-practices/

[prinsrachid]

Op 9-8-2021 om 01:29, Barr76 zei:

er zijn een aantal types: DV SSL, OV SSL en EV SSL.

 

Het eerlijke antwoord is dat het wat betreft de veiligheid niets uitmaakt of je een simpel SSL-certificaat van 10 euro koopt of een heel duur SSL-certificaal van 110 euro. Het enige verschil is dat je bij een heel duur EV-certificaat je bedrijfsnaam in de URL-balk ziet en dat het slotje misschien groen kleurt. De informatie wordt echter niet meer of minder veilig verstuurd.

 

Persoonlijk heb ik wel een EV-certificaat, maar dat is eigenlijk alleen ingegeven door het feit dat de klanten in ieder geval moeten kúnnen weten dat de verbinding en de website ook écht van mijn bedrijf zijn. Als het echter alleen nodig is om een beveiligde verbinding te hebben, kun je net zo goed een simpel DV-certificaat nemen.

 

9 augustus 2021 aangepast door prinsrachid

[Mike Lameree]

Ik kom uit de IT security sector en precies wat Rachid zegt.

 

Je neemt een EV certificaat als je meer zekerheid richting je klanten wilt geven dat ze werkelijk met jouw website communiceren en niet die van een "hacker" die jouw domeinnaam gekaapt heeft.

 

Voor nu is EV een overkill want de "gewone" mens ziet het verschil nog niet of weten het verschil nog niet. Wellicht als de browsers meer onderscheid gaan tonen (bijvoorbeeld website met EV cert geeft groen balkje en DV cert geeft oranje balkje) dat het dan wellicht loont om naar EV te gaan, maar dan is het puur om het groene balkje te krijgen en niet zo zeer om je website veiliger te maken.

 

Voor financiële instellingen e.d. waar je 100% zeker wilt zijn dat je met de juiste website communiceert zou EV certs wel belangrijk zijn.

[R.I.P. - Benm]

Op 9-8-2021 om 10:42, Norbert Bakker zei:

Met de AVG en PSD2 is er meer aandacht gekomen voor beveiliging van persoonsgegevens en betalingsverkeer, maar de grootste groei komt van de aandacht door criminelen: slecht beveiligde webwinkels zijn eenvoudig leeg te roven,  data te gijzelen of de website over te nemen voor phishing. 

 

Maar dat komt in de regel absoluut niet door slechte certificaten!

 

Zelfs de gratis varianten van LetsEncrypt zijn veilig. Sterker nog: ze zijn mogelijk -veiliger- omdat ze iedere paar maanden automatisch geupdate worden waardoor je de nieuwste keypairs en dergelijk hebt. Dat kan veiliger zijn dan een duur certificaat van 6 jaar oud (en dat kan in theorie, 10 jaar geldig is prima mogelijk). 

 

Tegen andere fouten helpt het natuurlijk niets: als je ergens een sql injection lek of iets dergelijks hebt kunnen ze bij je klantgegevens, en desnoods ook neppe bestellingen in je database stoppen en deze als betaald markeren. Waarschijnlijk valt dat wel op, maar dan is het echt al te laat. Gegevens lekken valt vaak helemaal niet op, meestal staat daar niet eens bij waar ze precies vandaan komen als ze verhandeld worden!

[markusje]

Vroeger lieten de webbrowsers de bedrijfsnaam zelf zien in het EV certificaat in de browserbalk, dat viel wel op. Tegenwoordig is het alleen een grijs slotje bij alle soorten certificaten. Hoogstens de verzekerde waarde kan een afweging zijn voor het type certificaat.

[MarketingRik]

Goede vraag! Uiteindelijk komt dit gewoon neer op een kosten/baten keuze die je zelf moet maken.

 

Een certificaat waarbij je de bedrijfsnaam ziet kan extra vertrouwen wekken en misbruik voorkomen. Maar, relatief weinig bezoekers zullen zich hier überhaupt bewust van zijn. Hangt dus onder andere af van of je doelgroep zich hier  wel meer bewust van is. En om fishing te beperken kun je ook andere zaken doen die wellicht nog wat effectiever zijn, zoals het vastleggen van domeinen die op jouw domein lijken met veelgemaakte typefouten.

 

Sinds 2014 neemt Google bij het bepalen van de ranking van websites mee of ze een SSL certificaat hebben, daarna zijn geen specifieke signalen gekomen over dat bijvoorbeeld type certificaat al een rol speelt. Maar, effectieve SEO is niet ‘de bekende regeltjes volgen’ maar daadwerkelijk gebruiksvriendelijkheid voorop zetten, en sinds 2014 speelt voor Google veiligheid daar ook een serieuzere rol in. Serieuzer omgaan met de veiligheid van de gebruikers kan dus zeker wel positief uitpakken in je SEO ranking. Maar zaken als het afdwingen van SSL, de juiste security headers en dergelijke hebben op de kortere termijn waarschijnlijk meer effect op je ranking.