• 0

SSL certificaat voor ecommerce site nodig

Aanbevolen berichten

12 antwoorden op deze vraag

  • 0

Heeft elke ecommerce website een SSL beveiliging nodig? Ze hadden me geadviseerd om een ssl certificaat te kopen mocht je een ecommerce website lanceren die ook betalingsmogelijkheden voorziet...

 

Een site heeft SSL beveiliging nodig als er betalingsgegevens of privacygevoelige gegevens op staan of op worden ingevuld. Lijkt me dus dat een ecommerce site SSL nodig heeft.

 

Een certificaat kun je b.v. kopen bij Thawte, ik geloof dat dat goedkoper is dan bij Verisign.

 

dagdag

Christine

Link naar reactie
  • 0

Ik heb een klein vraagje:

Heeft elke ecommerce website een SSL beveiliging nodig? Ze hadden me geadviseerd om een ssl certificaat te kopen mocht je een ecommerce website lanceren die ook betalingsmogelijkheden voorziet...

 

[edit]titel aangepast[/edit]

 

Zoals men al zegt, dit is inderdaad aan te raden wanneer je gegevens zoals bijvoorbeeld creditcard nummers op je site in laat vullen.

 

Het idee van zo'n certificaat is dat deze gebruikt wordt om de verbinding te versleutelen. Gebeurd dit niet, dan is er een legio van manieren om de gegevens die van en naar je e-commerce site gaan te onderscheppen. Bijvoorbeeld door de lijn af te tappen, alles is dan gewoon zichtbaar. Ook de zogenaamde 'man in the middle attack' wordt vaak toegepast. Iemand doet zich voor als jouw site, de bezoeker heeft het verschil niet door en vult netjes alles in, de man in the middle sluist deze gegevens weer door naar jou site, maar maakt intussen een kopie voor eigen (mis)bruik.

 

Je hoeft zo'n certificaat niet noodzakelijk te kopen, je kunt ook zelf zo'n certificaat maken. Ook is er een initiatief om een kostenvrije certificaten authority te maken (http://www.cacert.org).

 

Ik zei het al even, 'certificate authority'. Een certificaat is altijd digitaal ondertekend door een certificate authority. En dit is de crux. Wanneer een certificate authority in de browser van je bezoeker voorkomt, wordt de site zondermeer geladen. Komt de CA niet in de browser voor, dan krijgt de gebruiker vaak een melding dat het certificaat van de site niet is ondertekend door een vertrouwde CA. De gebruiker kan dan kiezen om door te gaan.

 

Wanneer je zelf een certificaat maakt & ondertekend, dan weet je dus eigenlijk zeker dat de CA (dat ben je dan zelf) niet in de browser voorkomt. Ook met cacert is het nog niet zover dat alle browsers de cacert CA vertrouwen. Overigens is het voor de gebruiker wel mogelijk een CA toe te voegen aan de browser.

 

Hoop dat het een beetje duidelijk was, het is nogal een technisch verhaal waarvoor je e.e.a. van versleuteling (crypto) af moet weten om het echt te weten te waarderen :)

 

Overigens, het vertrouwen van de gebruiker dat je koopt bij verisign of thawte is relatief, nog niet zo lang geleden was het iemand (die geen Bill Gates heette) gelukt om een certificaat op naam van Bill Gates te verkrijgen, om zodoende nietsvermoedende microsoft klanten om de tuin te leiden.

 

Het geeft dus vertrouwen, maar vaak ook vals vertrouwen. Een certificaat zegt (in het geval van verisign en anderen) niets meer dan 'ja deze persoon heeft betaald voor dit certificaat voor deze server'. Het zegt niet 'deze site is te vertrouwen'. In het geval van cacert zegt het certificaat 'deze persoon is gerechtigd te handelen voor de domeinnaam in dit certificaat' en meer niet. Als ik dus een domein 'microsoftdealership.eu' aanvraag of iets dergelijks, kan ik hier prima een certificaat voor aanvragen, en vervolgens doen alsof ik van microsoft ben en gebruikers om allerlei nasty info vragen.

 

Groeten,

 

Koen

Sonologic, experts op het gebied van webapplicaties, MKB unix migratie, embedded systems, intra- en internet, kunstmatige intelligentie en embedded systems; http://www.sonologic.nl/

Link naar reactie
  • 0

Betalingen wil je veilig kunnen verrichten, dus dan is een beveiligde verbinding zonder meer aan te raden. Daarbij kosten certificaten vrijwel niets en geven ze de mensen vertrouwen, dus waarom zou je het niet (laten) doen?

 

Ik denk dat dit, zeker voor een webshop, veel belangrijker is dan de technische kant. Ik heb mijn moeder geleerd dat er een slotje moet staan op site waar ze gegevens invult. Geen slotje of een waarschuwing dan geen zaken of de helpdesk bellen (mij dus ;)) Ik zelf voer ook geen belangrijke gegevens in als er geen geldig certificaat aanwezig is. Niet omdat ik heel bang ben dat m'n gegeven onderweg onderschept worden maar omdat de eigenaar van de site beveiliging blijkbaar niet zo serieus neemt.

Link naar reactie
  • 0

Het geeft dus vertrouwen, maar vaak ook vals vertrouwen.

 

Dat valt wel mee hoor. Thawte controleert de identiteit van de aanvrager van een Server SSL certificaat door het bedrijf te bellen op een door hun opgezocht telefoonnummer. Dat geeft een redelijke garantie dat het bedrijf ook is wie ze zeggen dat ze zijn. Mocht je opgelicht worden, dan weet je in ieder geval door wie.

 

Bij client certificaten vindt die controle niet altijd plaats, die kun je dus op allerlei namen aanvragen, het email adres dat er in staat dient echter te kloppen want dat wordt wel gecontroleerd.

Ik denk dat het Bill Gates certificaat dat Koen noemde, een client certificaat was met een email adres dat niet in het domein microsoft.com viel.

 

Je kunt zelf certificaten aanmaken, maar het probleem is dat alle browsers daarover onmiddellijk alarm slaan. Dan krijgt iedere bezoeker van je site een alarmboodschap "deze site is niet te vertrouwen". De bezoeker moet handmatig instellen dat je site wel te vertrouwen is, en dan werkt het normaal. Thawte en Verisign en een aantal anderen hebben ervoor gezorgd dat hun certificaten automatisch bekend zijn in Windows en dat je browser voor hun certificaten geen alarm slaat.

Link naar reactie
  • 0

Het geeft dus vertrouwen, maar vaak ook vals vertrouwen.

 

Dat valt wel mee hoor. Thawte controleert de identiteit van de aanvrager van een Server SSL certificaat door het bedrijf te bellen op een door hun opgezocht telefoonnummer. Dat geeft een redelijke garantie dat het bedrijf ook is wie ze zeggen dat ze zijn. Mocht je opgelicht worden, dan weet je in ieder geval door wie.

 

 

Vaak is inderdaad een beetje overdreven, maar het is zeker niet zo dat 'er staat een slotje' automatisch betekent 'het is te vertrouwen'. Dat is dus absoluut niet waar, iedereen kan een certificaat aanvragen en het slotje er neer zetten. Die opvatting verspreiden is naar mijn mening dan ook gevaarlijk. Dat bedoel ik in feite met het valse vertrouwen. Een geldig certificaat staat simpelweg niet gelijk aan 'de site is te vertrouwen'.

 

Ik denk dat het Bill Gates certificaat dat Koen noemde, een client certificaat was met een email adres dat niet in het domein microsoft.com viel.

 

Heb even geen tijd om de referentie op te zoeken, maar het betrof daadwerkelijk een server certificaat iirc.

 

Gr,

 

Koen

Sonologic, experts op het gebied van webapplicaties, MKB unix migratie, embedded systems, intra- en internet, kunstmatige intelligentie en embedded systems; http://www.sonologic.nl/

Link naar reactie
  • 0

Quote: Jeroen Bakker:

 

Betalingen wil je veilig kunnen verrichten, dus dan is een beveiligde verbinding zonder meer aan te raden. Daarbij kosten certificaten vrijwel niets en geven ze de mensen vertrouwen, dus waarom zou je het niet (laten) doen?

 

Ik ben net klaar met het inbouwen van de koppeling naar een payment provider, en de aanroep is https, wat wil zeggen dat er een beveiligde verbinding wordt aangeroepen, en bij mijn weten is dit gebruikelijk bij paymentproviders, dus volgens mij heb je voor het veilig kunnen verrichten van betalingen geen SSL certificaat nodig. (Wij willen overigens wel een certificaat aanschaffen om bezoekers zekerheid te geven dat ze verbinding maken met onze website).

Met vriendelijke groet,

 

 

Eric Goedhart

Link naar reactie
  • 0

Quote Christine: Al met al gaat het bij een SSL certificaat om traceerbaarheid, niet om betrouwbaarheid.

 

Ik denk dat het bij een SSL certificaat om gegarandeerde beveiliging van verzonden en ontvangen berichten gaat, daarvoor is dat certificaat bedoeld. Een bedrijf dat gebruik maakt van SSL is in ieder geval betrouwbaar op het gebied van het verzenden en ontvangen van belangrijke data over het internet.

 

;D

Met vriendelijke groet,

 

 

Eric Goedhart

Link naar reactie
Gast
Dit topic is nu gesloten voor nieuwe reacties.
Hide Sidebar
  • Onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

  • Wie is er online?
    2 leden, 158 Gasten

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 80.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.