Nog veel webwinkels ontberen ssl-certificaat
Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt, blijkt dat het aantal iDeal-webshops met een beveiligde verbinding met drie procentpunt is gestegen. 88 procent van de shops heeft echter nog altijd geen ssl-certificaat.
Beveiligingsbedrijf Networking4all deed voor de derde keer onderzoek naar de beveiliging van webwinkels die de betaalmethode iDeal aanbieden. Van de 13.600 onderzochte webshops gebruikte 12 procent een ssl-certificaat. Daarmee is het percentage aan beveiligde webwinkels gestegen; in 2008 was 9 procent van de webwinkels 'veilig', in 2007 was dat nog 6,9 procent.
Ondanks de stijging is het bedrijf, dat zelf ssl-certificaten aanbiedt, verontrust over de resultaten. Want hoewel het aantal veilige webshops relatief is toegenomen, zijn er in absolute aantallen meer 'onveilige' dan veilige webshops bijgekomen; ten opzichte van 2008 zijn er 3400 shops zonder certificaat bijgekomen, tegen 780 webwinkels mét. Dit terwijl een ssl-certificaat verplicht is om te voldoen aan de Wet Bescherming Persoonsgegevens, zegt Paul van Brouwershaven, technisch directeur van Networking4all.
Overigens is de betaling via iDeal in alle gevallen wel gewoon versleuteld en veilig, benadrukt Van Brouwershaven. Er zou voor webshops met iDeal zijn gekozen omdat er een lijst beschikbaar is met shops die de methode aanbieden; volgens Van Brouwershaven is het onmogelijk om op een andere manier aan een afgebakende lijst met webshops te komen.
Hoewel de betaling zelf dus veilig is - mits iDeal of een andere betalingsprovider met een versleutelde verbinding wordt gebruikt - brengt het ontbreken van een certificaat risico's met zich mee, zegt Van Brouwershaven. "Criminelen zouden profielen van je kunnen aanleggen, met behulp van je adresgegevens, maar ook met de aankopen die je doet", zegt hij. Hij vindt dan ook dat iDeal webshops die niet over ssl-certificaten beschikken, moet weigeren. Currence, het bedrijf achter iDeal, liet desgevraagd echter weten dat het zich niet met de beveiliging van aan iDeal deelnemende webshops wil bemoeien.
Reacties (91)
Iets met discriminatie ofzo?..Hij vindt dan ook dat iDeal webshops die niet over ssl-certificaten beschikken, moet weigeren....
Zie het punt niet echt, bedoel als je met de betaling gaat beginnen wordt je toch geredirect naar de site van de desbetreffende bank zelf, dus dan zit je gewoon beveiligd.
Maar alle gegevens ervoor: adres, aankoop, rekeningnummer etc die je bij de winkel achterlaat is niet beveiligd. Dus ja criminelen kunnen niet je geld eraf halen, maar ze kunnen wel nuttige informatie verkrijgen...Zie het punt niet echt, bedoel als je met de betaling gaat beginnen wordt je toch geredirect naar de site van de desbetreffende bank zelf, dus dan zit je gewoon beveiligd.
Het rekeningnummer vul je met iDeal pas in op de site van de bank.
Niet met ING. En ik denk eigenlijk dat je rekeningnummer altijd al vóór iDeal moet opgeven.
Niet bij de implementatie die wij gebruiken
rekeningnummer wordt pas op de bank-site ingevuld
Dit moeten wij meegeven aan onze payment-provider:
- userid
- website-ID van ons
- amount (bedrag)
- description
- bank-ID
- return-url
rekeningnummer wordt pas op de bank-site ingevuld
Dit moeten wij meegeven aan onze payment-provider:
- userid
- website-ID van ons
- amount (bedrag)
- description
- bank-ID
- return-url
[Reactie gewijzigd door hackerhater op woensdag 18 november 2009 19:14]
Bij ING is je rekeningnummer gekoppeld aan je gebruikersnaam ..
en ook die geef je pas op bij als je inlogt bij de ing.
nee, als je gaat betalen moet je kiezen voor een bank.
je wordt naar de site van jouw bank gelinkt waar je moet inloggen en de stappen volgen.
ook bij ING heb ik zelf namelijk ook.
je wordt naar de site van jouw bank gelinkt waar je moet inloggen en de stappen volgen.
ook bij ING heb ik zelf namelijk ook.
Tja...
Theoretisch kan dat inderdaad prima. In praktijk betekend het dat ze ergens tussen jouw en de webshop de lijn moeten kunnen tappen. Dat valt voor de gemiddelde persoon niet mee.
Als ze het met software doen op je PC, bijv. malware, maakt het geen ene bal uit gezien ze gewoon al je toetsen aanslagen kunnen loggen.
En als ze je lijn kunnen tappen kunnen ze ook al al je e-mail verkeer lezen. Daar komen dezelfde gegevens waarschijnlijk ook geregeld voorbij.
Al met al of schromelijk overdreven, of een serieus gebrek aan inzicht danwel onderbelichting bij andere zaken als e-mail dus.
Theoretisch kan dat inderdaad prima. In praktijk betekend het dat ze ergens tussen jouw en de webshop de lijn moeten kunnen tappen. Dat valt voor de gemiddelde persoon niet mee.
Als ze het met software doen op je PC, bijv. malware, maakt het geen ene bal uit gezien ze gewoon al je toetsen aanslagen kunnen loggen.
En als ze je lijn kunnen tappen kunnen ze ook al al je e-mail verkeer lezen. Daar komen dezelfde gegevens waarschijnlijk ook geregeld voorbij.
Al met al of schromelijk overdreven, of een serieus gebrek aan inzicht danwel onderbelichting bij andere zaken als e-mail dus.
Ze doelen ook op de gegevens buiten de betaling. "Hoewel de betaling zelf dus veilig is" De overige gegevens kunnen andere partijen (welke even daargelaten) dan e.v.t. een identiteits profiel van maken even samen gevat (zoals het hier boven staat).
Tja naam en adres enzo kun je zo ook verkrijgen als je even werk doet via google, Maar het gaat natuurlijk om het principe, Ook online wil je je "veilig" voelen.
En daarom vindt ik dit onderzoek nergens op slaan. Op sites als "hyves" staan vaak dezelfde gegevens (ok vrijwillig, en je WEET het). Ook worden de NAW gegevens in menig mailtje gewoon meegestuurd als standaard "bericht ondertekening".
Maargoed, in dat geval zouden ze ook telefoonboek / gids .nl ook moeten blokkeren, daar staan mijn NAW gegevens ook op. Mijn IP adres alleen al geeft aan dat ik in Rijnsburg woon (athans, de database waar dit wordt bijgehouden)...
Mijn mening: pincode + geld overmaken is het enige wat bij een webshop veilig hoeft te zijn, verder weet men op het grote boze internet toch al alles over mij.
Networking4all wil alleen geld verdienen met SSL sertificaten die wat mij betreft... overbodig zijn bij webshops (maargoed per persoon ligt het eraan waar men de privacy grens legt).
Maargoed, in dat geval zouden ze ook telefoonboek / gids .nl ook moeten blokkeren, daar staan mijn NAW gegevens ook op. Mijn IP adres alleen al geeft aan dat ik in Rijnsburg woon (athans, de database waar dit wordt bijgehouden)...
Mijn mening: pincode + geld overmaken is het enige wat bij een webshop veilig hoeft te zijn, verder weet men op het grote boze internet toch al alles over mij.
Networking4all wil alleen geld verdienen met SSL sertificaten die wat mij betreft... overbodig zijn bij webshops (maargoed per persoon ligt het eraan waar men de privacy grens legt).
[Reactie gewijzigd door XiniX88 op woensdag 18 november 2009 15:30]
daarom vul ik daar geen NAW gegevens in ... 
Just-Eat ... iemand?
Nee, die fout heeft niets meet http/https te maken. De fuckup daar was dat de prijs per user input ging.
Networking4all is dan ook een verstrekker van SSL certificaten.
Wat heeft dit in hemelsnaam met discriminatie te maken?
Zoiets heet bijvoorbeeld een aansluitvoorwaarde, iets wat geheel logisch en redelijk is!
Zoiets heet bijvoorbeeld een aansluitvoorwaarde, iets wat geheel logisch en redelijk is!
"Hij" is de meneer die ssl-certificaten verkoopt.
Er is niks mooiers dan dat het product dat jij verkoopt verplicht gesteld wordt.
Er is niks mooiers dan dat het product dat jij verkoopt verplicht gesteld wordt.
Ok, is idd wat minder handig, maar SSL is ook niet heilig en is ook kwetsbaar, zie bijvoorbeeld dit nieuwsbericht: nieuws: Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk
Dus ook al gebruikt de site wél SSL, is dat nog geen garantie dat de verbinding ook daadwerkelijk secure is.
En laten we wel zijn, het bedrijf bied zelf SSL-certificaten aan. Je kan dan ook je vraagtekens plaatsen bij de betrouwbaarheid van het onderzoek, erg onafhankelijk is het niet op deze manier...
Dus ook al gebruikt de site wél SSL, is dat nog geen garantie dat de verbinding ook daadwerkelijk secure is.
En laten we wel zijn, het bedrijf bied zelf SSL-certificaten aan. Je kan dan ook je vraagtekens plaatsen bij de betrouwbaarheid van het onderzoek, erg onafhankelijk is het niet op deze manier...
Ik vraag me af wat ook het kostenplaatje van dit verhaal is. Dit zal waarschijnlijk ook wel een reden zijn dat bedrijven niet zo snel over de streep getrokken worden.
Als je de prijzen vergelijkt van webshops en gewone winkels moeten de marges lager zijn dus deze extra onkosten moeten de webshops in deze tijd ook nog kunnen ophoesten natuurlijk.
Als je de prijzen vergelijkt van webshops en gewone winkels moeten de marges lager zijn dus deze extra onkosten moeten de webshops in deze tijd ook nog kunnen ophoesten natuurlijk.
Een eigen SSL certificaat is voor de kleine webshops "onbetaalbaar"...
Je betaalt zomaar een paar honderd euro netto per jaar. Eventueel kan je een share-certificate gebruiken en die zijn dan goedkoper.
Je betaalt zomaar een paar honderd euro netto per jaar. Eventueel kan je een share-certificate gebruiken en die zijn dan goedkoper.
Euh... COMODO bied al SSL-certificaten aan voor 70 dollar per jaar (bij 5 jaar totaal), dus dat valt wel mee, dat is dus 46 euro per jaar . Lijkt me voor elke shop, zelfs de kleintjes, prima te betalen.
Ja, je moet ze niet per se bij VeriSign gaan halen nee, die zijn idd een stuk duurder.
Ja, je moet ze niet per se bij VeriSign gaan halen nee, die zijn idd een stuk duurder.
[Reactie gewijzigd door wildhagen op woensdag 18 november 2009 14:46]
Inderdaad, of Xolphin, heeft ook prachtige officiele SSL certificaten te koop voor echt niet veel geld per jaar.
Kan net zo veilig en gratis met een self-signed certificate.Euh... COMODO bied al SSL-certificaten aan voor 70 dollar per jaar (bij 5 jaar totaal),
Enige nadeel is dat de gebruiker een melding krijgt omdat de signing-authority onbekend is.
Ja, en dat wil je dus niet op een website, oogt nogal amateuristisch natuurlijk naar je klanten toe. Dan ga je dus niet met selfsigned certs werken...
Ik bedoel, als je geen 46 euro per jaar kan missen als webwinkel heb je kennelijk je zaken toch niet helemaal goed op orde, financieel gezien. Dat is notabene nog geen 4 euro per maand.
Ik bedoel, als je geen 46 euro per jaar kan missen als webwinkel heb je kennelijk je zaken toch niet helemaal goed op orde, financieel gezien. Dat is notabene nog geen 4 euro per maand.
[Reactie gewijzigd door wildhagen op woensdag 18 november 2009 16:38]
Hoeveel maanden heeft een jaar op jouw planeet?
OT: Ik heb onlangs een webwinkel gemaakt voor mn vriendin. Bij het zoeken naar de kosten van een SSL certificaat schrok ik van de bedragen. De iDeal betalingen lopen via Multisafepay, zodat dit 100% veilig is, en goedkoper dan direct bij de bank.
iig moet de shop aardig gaan lopen wil een SSL certificaat geregeld gaan worden.
OT: Ik heb onlangs een webwinkel gemaakt voor mn vriendin. Bij het zoeken naar de kosten van een SSL certificaat schrok ik van de bedragen. De iDeal betalingen lopen via Multisafepay, zodat dit 100% veilig is, en goedkoper dan direct bij de bank.
iig moet de shop aardig gaan lopen wil een SSL certificaat geregeld gaan worden.
Ik weet niet waar jij naar gezocht heb voor een SSL certificaat maar ik heb ze gewoon voor m'n thuisserver. Kost me 15 euro per jaar. Als je dat niet kan betalen met je webshop dan doe je toch echt iets niet goed.
Een een self-signed certificaat is helemaal niet veilig, omdat je juist niet kan controleren of je met de juiste server te maken hebt. Een man-in-the-middle attack is dan een fluitje van een cent.
Een een self-signed certificaat is helemaal niet veilig, omdat je juist niet kan controleren of je met de juiste server te maken hebt. Een man-in-the-middle attack is dan een fluitje van een cent.
Aangezien dat toch weeral een extra kost is zie ik niet in waarom ik dit als webshop zou toevoegen..
Hoe goedkoper hoe beter, zowel voor de consument als mezelf
Hoe goedkoper hoe beter, zowel voor de consument als mezelf
Tuurlijk wel! Net zoals deze toko voor de webmail: https://mailservers.wiwo.nl/ (self signed, verkeerde server & verlopen sinds 2003) 
Doen ook security audits: http://www.wiwo.nl/?page=tarieven
Doen ook security audits: http://www.wiwo.nl/?page=tarieven
Dat is dus niet veilig tenzij er vantevoren geverifieerd is dat jouw eigen CA keys kloppen met wat er uiteindelijk verstuurd wordt. Anders kun je niet verifieren of de certificaten die verstuurd worden ook daadwerkelijk de goede zijn en niet die van iemand in het midden.
Ja en bedenk ook even dat je per certificaat 1 ipadres nodig hebt, helemaal dus niet handig als je meerdere webshops hebt draaien op dezelfde server.
Ik denk in dit geval dat het Networking4all meer gaat om de misgelopen inkomsten, in die zin alle mensen welke nog geen certificaat hebben en voor hun potentiele klanten zijn.
Daarnaast zijn SSL certificaten gewoon te gemakkelijk te verkrijgen, en kan elke jan doedel deze aanschaffen zonder zichzelf bekend te maken.
Hier nog een net artikel welke beschrijft dat SSL helemaal niet zo veilig meer is:
http://blogs.securiteam.com/index.php/archives/1228
Ik denk in dit geval dat het Networking4all meer gaat om de misgelopen inkomsten, in die zin alle mensen welke nog geen certificaat hebben en voor hun potentiele klanten zijn.
Daarnaast zijn SSL certificaten gewoon te gemakkelijk te verkrijgen, en kan elke jan doedel deze aanschaffen zonder zichzelf bekend te maken.
Hier nog een net artikel welke beschrijft dat SSL helemaal niet zo veilig meer is:
http://blogs.securiteam.com/index.php/archives/1228
Een standaard certificaat kost ongeveer 20 euro per jaar (bijvoorbeeld hier). Dit moet toch niet al te lastig zijn voor een webwinkel?
Disclaimer: ik heb niets met de betreffende SSL certificaat aanbieder te maken, dit is enkel het eerste resultaat in Google.
Disclaimer: ik heb niets met de betreffende SSL certificaat aanbieder te maken, dit is enkel het eerste resultaat in Google.
[Reactie gewijzigd door EDIT op woensdag 18 november 2009 14:44]
En zo een standaard certificaat voldoet niet echt aan de eisen voor een webshop...
Waarom niet, als ik vragen mag? 128bits encryptie is 128bits encryptie, toch? Wat is volgens jou dan het verschil met duurdere varianten, technisch?
Je betaalt - volgens mij - over het algemeen simpelweg voor het vertrouwen dat je in een bepaalt product stelt, of het vertrouwen dat het uitstraalt. Wil je enkel en alleen SSL-encryptie en zal het je verder worst zijn of dat van partij a, b of c is, kies dan lekker de goedkoopste. Wil je vertrouwen, pak dan een dure (EV-SSL oid). Als je maar wat doet.
Je betaalt - volgens mij - over het algemeen simpelweg voor het vertrouwen dat je in een bepaalt product stelt, of het vertrouwen dat het uitstraalt. Wil je enkel en alleen SSL-encryptie en zal het je verder worst zijn of dat van partij a, b of c is, kies dan lekker de goedkoopste. Wil je vertrouwen, pak dan een dure (EV-SSL oid). Als je maar wat doet.
Een SSL certificaat kost gemiddeld 150 euro per jaar. De setup kosten zijn meestal een 100 euro (dus eenmalig).
Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.
Als je een 128-bits encryptie hebt is deze nagenoeg niet te kraken. En uiteraard kan het voorkomen dat er een lek in de beveiliging zit. Windows heeft er honderden, dus waar praten we over.
De kosten zijn het probleem niet, maar meestal de gebrekkige communicatie van de webontwikkelaar. Je kan een webwinkel-eigenaar erg eenvoudig overtuigen van de noodzaak van een SSL certificaat. Sterker nog, als alle webontwikkelaars het zouden verplichten, zo ook de Consumentenbond, is dit probleem de wereld uit.
Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.
Als je een 128-bits encryptie hebt is deze nagenoeg niet te kraken. En uiteraard kan het voorkomen dat er een lek in de beveiliging zit. Windows heeft er honderden, dus waar praten we over.
De kosten zijn het probleem niet, maar meestal de gebrekkige communicatie van de webontwikkelaar. Je kan een webwinkel-eigenaar erg eenvoudig overtuigen van de noodzaak van een SSL certificaat. Sterker nog, als alle webontwikkelaars het zouden verplichten, zo ook de Consumentenbond, is dit probleem de wereld uit.
Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.
En jiju mag dat vinden ook.
Er is uitgebreide privacy wetgeving waarop een webshop aanspreekbaar is.
Maar een certificaat verplichten omdat een verkoper dat wil lijkt me niet de goede weg.
Verplcihtingen moeten voortvloeien uit iets anders dan commerciele belangen.
Zolang mensen nog voor een kans op een gratis zak chips al hun gegevens afstaan is het voor een crimineel niet het rendabelst om dit soort gegevens bij niet gecertificeerde webshops te achterhalen
Elke webshop wil goed omgaan met privacy, dat niet doen kan je de kop kosten en dat wil je gewoon niet. OF moeten we ook maar verplichten dat elke webshop een thuiswinkelwaarborg heeft? Denk dat die club dat ook maar wat graag zou zien.
En jiju mag dat vinden ook.
Er is uitgebreide privacy wetgeving waarop een webshop aanspreekbaar is.
Maar een certificaat verplichten omdat een verkoper dat wil lijkt me niet de goede weg.
Verplcihtingen moeten voortvloeien uit iets anders dan commerciele belangen.
Zolang mensen nog voor een kans op een gratis zak chips al hun gegevens afstaan is het voor een crimineel niet het rendabelst om dit soort gegevens bij niet gecertificeerde webshops te achterhalen
Elke webshop wil goed omgaan met privacy, dat niet doen kan je de kop kosten en dat wil je gewoon niet. OF moeten we ook maar verplichten dat elke webshop een thuiswinkelwaarborg heeft? Denk dat die club dat ook maar wat graag zou zien.
[Reactie gewijzigd door Silent7 op woensdag 18 november 2009 14:57]
Hoezo maak je uit mijn verhaal op dat het om een verkoper gaat die graag een SSL certificaat wil slijten? Het gaat om het waarborgen van de persoonsgegevens van consumenten, waar jij er waarschijnlijk ook één van bent.
Als veiligheid dan eigenlijk alleen maar draait om het geld dat ermee verdient wordt, dan schaffen we toch gewoon alle veiligheidsmaatregelen af die ooit verzonnen zijn?
Geen autogordels meer, geen helm op de brommer, geen kevlar vest voor agenten en geen pincodes meer op bankpasjes. gewoon omdat er organisaties zijn die daar geld aan verdienen. Verder dient het geen enkel doel, toch?
Als veiligheid dan eigenlijk alleen maar draait om het geld dat ermee verdient wordt, dan schaffen we toch gewoon alle veiligheidsmaatregelen af die ooit verzonnen zijn?
Geen autogordels meer, geen helm op de brommer, geen kevlar vest voor agenten en geen pincodes meer op bankpasjes. gewoon omdat er organisaties zijn die daar geld aan verdienen. Verder dient het geen enkel doel, toch?
Ehm: lees je even het berichtje nogmaals?
Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt
De verkoper brengt een onderzoek naar buiten.
Vreemde boosheid hoor (neem maar een bakje koffie minder of een kopje thee meer
), want precies de voorbeelden die jij noemt zijn nu van belang om wel te reguleren waarbij verkeersmaatregelen zorgen voor hogere kosten voor gebruikers en dus een wettelijke basis nodig zullen hebben voor complete implementatie. De pincode is net een certificaatje iets anders, als webshop het niet goed doet kunnen ze failiet gaan en dat wil je niet, dus regels en verplichtingen is in een dergelijke situatie niet nodig, de markt reguleert zichzelf. Zo doet de ABN het in het geval van electronisch betalen zus, en de postbank zo, ik vind het systeem postbank minder veilig overkomen en gebruik dus ABN, wil de postbank mij als klant dan zullen ze hun systeem moeten aanpassen, en als er veel mensen zijn zoals ik dan zullen ze dat doen, daar is geen regel of verplcihting voor nodig.
Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt
De verkoper brengt een onderzoek naar buiten.
Vreemde boosheid hoor (neem maar een bakje koffie minder of een kopje thee meer
), want precies de voorbeelden die jij noemt zijn nu van belang om wel te reguleren waarbij verkeersmaatregelen zorgen voor hogere kosten voor gebruikers en dus een wettelijke basis nodig zullen hebben voor complete implementatie. De pincode is net een certificaatje iets anders, als webshop het niet goed doet kunnen ze failiet gaan en dat wil je niet, dus regels en verplichtingen is in een dergelijke situatie niet nodig, de markt reguleert zichzelf. Zo doet de ABN het in het geval van electronisch betalen zus, en de postbank zo, ik vind het systeem postbank minder veilig overkomen en gebruik dus ABN, wil de postbank mij als klant dan zullen ze hun systeem moeten aanpassen, en als er veel mensen zijn zoals ik dan zullen ze dat doen, daar is geen regel of verplcihting voor nodig.ssl-ev kan rond de 600 per jaar zijn....
en dat voor een simpel certificaatje, van een paar kb
ik snap dat er veel administratie om heen zit etc. maar toch vind ik het prijzig
en dat voor een simpel certificaatje, van een paar kb
ik snap dat er veel administratie om heen zit etc. maar toch vind ik het prijzig
Kan. maar volgens mij kun je voor 30eur per maand (356euro p/jaar) best een goed en gevalideerd certificaat krijgen en goedkoper wil ook wel lukken.
Wij moesten hier ook even naar kijken. Toen bleek dat we per server (5) 2000 euro per jaar kwijt zijn.... Per (sub)domeinnaam..
[Reactie gewijzigd door kmf op woensdag 18 november 2009 14:40]
Wtf?? Wat voor oplichtersbende is dat dan?
Wij zijn met onze Thawte certificaten echt niet zo veel kwijt, hoor.
Wij zijn met onze Thawte certificaten echt niet zo veel kwijt, hoor.
Dan ben je niet goed voorgelicht; voor 1000 euro ben je klaar. Jouw oplossing ligt bij GlobalSign wildcard-certificaten. Bij Globalsign mag je die op 3 servers installeren ipv op1, zoals bij Verisign en onderaannemingen van Verisign het geval is. Met nog 2 addidionele licenties (of een extra 'set' van 3 licenties) ben je dan dus gedekt voor je domein en alle subdomeinen op die 5 machines. Info op http://nl.globalsign.com/nl/ssl+certificaten/domainssl/ en http://nl.globalsign.com/...ificaten/organisationssl/
Ik ben onafhankelijk consultant en heb niets met Globasign verder. Doe je voordeel met dit gratis advies. Of niet natuurlijk.
Ik ben onafhankelijk consultant en heb niets met Globasign verder. Doe je voordeel met dit gratis advies. Of niet natuurlijk.
[Reactie gewijzigd door garp op woensdag 18 november 2009 15:39]
Er zijn ook vele instanties die gratis certificaten verstrekken.
Om wildhagen nog even aan te vullen: ik heb recent comodo moeten wijzen op een procedurefout die me in staat stelde om een SSL certificaat voor elk gewenst domein, incl bijv mijn.ingbank.nl aan te vragen.
SSL kan de veiligheid een beetje verbeteren, maar dit onderzoek vind ik kortzichtig; SSL is niet het enige wat er toe doet. Niet heel vreemd, het is natuurlijk wel een bedrijf wat een onderzoek publiceert om meer klanten binnen te hengelen.
SSL kan de veiligheid een beetje verbeteren, maar dit onderzoek vind ik kortzichtig; SSL is niet het enige wat er toe doet. Niet heel vreemd, het is natuurlijk wel een bedrijf wat een onderzoek publiceert om meer klanten binnen te hengelen.
Maar wat voor SSL-certificaat je ook gebruikt (een valse of een self-signed, of zelfs een revoked), je gegevens worden versleuteld verstuurd, dus een 3e partij "in-the-middle" kan er niet bij.
Er zitten twee aspecten aan een SSL-certificaat:
1) Identiteit: Je hebt (een bepaalde) zekerheid dat je ook echt zaken doet met wie je denkt zaken te doen.
2) Encryptie: Je gegevens worden versleuteld verstuurd, dus iemand met een packet-sniffer kan niet zomaar meelezen met wat je heen en weer stuurt.
Er zitten twee aspecten aan een SSL-certificaat:
1) Identiteit: Je hebt (een bepaalde) zekerheid dat je ook echt zaken doet met wie je denkt zaken te doen.
2) Encryptie: Je gegevens worden versleuteld verstuurd, dus iemand met een packet-sniffer kan niet zomaar meelezen met wat je heen en weer stuurt.
Met een self-signed certificaat kan er gewoon een man-in-the-middle tussen zitten? Immers, de key van de server kan niet gecontroleerd worden bij een vertrouwde instantie. Die key kan dus ook gewoon afkomstig zijn van bijvoorbeeld een Squid Proxy. Kan jij niet controleren.
Bij een echt certificaat wordt je dan gewaarschuwd.
Bij een echt certificaat wordt je dan gewaarschuwd.
Wij van WC-eend...
Je opmerking zet mij aan het denken....
Networking4all komt elke keer naar buiten met een nieuwsbericht/persbericht over de ontbrekende SSL-certificaten. Echter is een deel van hun core-business ook het verkopen van SSL-certificaten. Mijn Hollandse nuchterheid zegt dat ze dit dus niet voor niets aan de kaak stellen.
Overigens een leuke link uit de NUjij.nl comments: http://twitpic.com/pyx18
Networking4all komt elke keer naar buiten met een nieuwsbericht/persbericht over de ontbrekende SSL-certificaten. Echter is een deel van hun core-business ook het verkopen van SSL-certificaten. Mijn Hollandse nuchterheid zegt dat ze dit dus niet voor niets aan de kaak stellen.
Overigens een leuke link uit de NUjij.nl comments: http://twitpic.com/pyx18
Beetje onterecht dat deze weggemod is... In principe is het enige wat "criminelen" kunnen doen een profiel van je maken. Sorry, maar voer iemands naam in in Google en je kunt al best een aardig profiel van deze persoon opmaken. En laten we het dan ook meteen over de offline wereld hebben: Airmiles, Bonuskaart, etc, etc.
Dus echt wel een gevalletje "Wij van WC-eend..."
Dus echt wel een gevalletje "Wij van WC-eend..."
Daar ben ik het niet helemaal mee eens. Ja, via Google kun je heel wat vinden, maar je moet wél weten waar je naar zoekt! Het is nogal een verschil of de adresgegevens "binnendruppelen" of dat je eerst een lijst met namen ergens vandaan moet zien te halen.
Daarbij, zo erg is het ook weer niet met Google. Zóveel personalia is er nou ook weer niet te vinden. Mensen die niks met internet doen zijn ook echt niet vindbaar.
Daarbij, zo erg is het ook weer niet met Google. Zóveel personalia is er nou ook weer niet te vinden. Mensen die niks met internet doen zijn ook echt niet vindbaar.
Zolang je geen betalingen kunt verrichten is toch niet heel veel aan de hand?Overigens is de betaling via iDeal in alle gevallen wel gewoon versleuteld en veilig, benadrukt Van Brouwershaven.
Oké, het zou lekker zijn als de rest van mijn gegevens ook versleuteld verzonden worden maar de meeste van die gegevens zijn toch wel openbaar. Adres en woonplaats en dergelijke.
Net alsof elke webwinkel een paar honder euro per jaar wil betalen zodat de artikelen veilig in de winkelmand komen zonder dat iemand er iets vanaf weet.
Met betalen via IDEAL kom je toch op de site van je bank die wel SSL heeft.
Met betalen via IDEAL kom je toch op de site van je bank die wel SSL heeft.
Niet iedere webwinkel zal dat inderdaad willen, maar als webwinkel is het een kleine moeite om dit te regelen. Voor een kleine €35 euro per jaar heb je al een certificaat en het geeft je klanten een veiliger gevoel als ze hun gegevens invullen met een beveiligde SSL verbinding.Net alsof elke webwinkel een paar honder euro per jaar wil betalen zodat de artikelen veilig in de winkelmand komen zonder dat iemand er iets vanaf weet.
En zelfs al zou je zo'n duur Versisign certificaat nemen a $900, dan is dat nog peanuts op de totale omzet van zo'n webshop op jaarbasis.
En waarschijnlijk aftrekbaar van de belasting (het zijn bedrijfskosten), dus netto nog minder.
mag ik vragen waar je die haalt?
is dat een selfsigned die firefox blockt?
is dat een selfsigned die firefox blockt?
Kijk eens op de website van de onderzoekers bijvoorbeeld: http://www.networking4all...per+validatie/domeinnaam/
Google ook eens op SSL Certificate RapidSSL of zo, dan kom je uit bij partijen die certificaten aanbieden vanaf 12,95 dollar. Geen geld.
Willekeurig google resultaat: http://www.webhostingtalk.com/showthread.php?t=861704
Goedkope certificaten zijn bijvoorbeeld de RapidSSL certificate, die worden netjes door vrijwel alle browsers herkend en dus niet geblockt.
Google ook eens op SSL Certificate RapidSSL of zo, dan kom je uit bij partijen die certificaten aanbieden vanaf 12,95 dollar. Geen geld.
Willekeurig google resultaat: http://www.webhostingtalk.com/showthread.php?t=861704
Goedkope certificaten zijn bijvoorbeeld de RapidSSL certificate, die worden netjes door vrijwel alle browsers herkend en dus niet geblockt.
[Reactie gewijzigd door garp op woensdag 18 november 2009 15:59]
Wordt een goedkoop cerfiticaat niet erg gemakkelijk uitgegeven en zegt het dus weinig over de betrouwbaarheid van de certificaten koper?
Tja, ze zijn 'domain validated', dus het toont alleen aan dat je inderdaad de 'beschikking' hebt over het domein. Het niet hebben van een certyificaat zegt ook niets over de betrouwbaarheid, maar met een certificaat heb je in ieder geval een encrypted sessie tussen je browser en de server bewerkstelligd, waardoor het verkeer dat zo over de lijn iig beschermd is.
Voor wat meer vertrouwen moet je richting EV (Extended Validation) certificaten gaan, maar dat is dan wel weer een hoop gedoe hoor. Ze willen dan echt allerlei bewijs van je hebben dat je organisatie valide is. Accountantsverklaring,uittreksel kvk (in het engels) et cetera. Ze gaan je ook daadwerkelijk mensen in je organisatie bellen en zo voorts....
Het is maar net wat je wilt....
Voor wat meer vertrouwen moet je richting EV (Extended Validation) certificaten gaan, maar dat is dan wel weer een hoop gedoe hoor. Ze willen dan echt allerlei bewijs van je hebben dat je organisatie valide is. Accountantsverklaring,uittreksel kvk (in het engels) et cetera. Ze gaan je ook daadwerkelijk mensen in je organisatie bellen en zo voorts....
Het is maar net wat je wilt....
stel je wil een klein webwinkeltje openen om je collectie handgeschilderde bloempotjes te verkopen dan moet je van de thuiswinkel waarborg dus per jaar honderden euro's uitgeven aan een ssl. je hosting wordt dan ook duurder, omdat veel extra rekenen voor ssl. en dat allemaal voor die paar 'persoonsgegevens' (n.a.w. en mail) die toch al via 5 verschillende zoekmachines te achterhalen zijn.
[Reactie gewijzigd door capsoft op woensdag 18 november 2009 14:44]
ow, en alleen de criminelen doen dat?"Criminelen zouden profielen van je kunnen aanleggen, met behulp van je adresgegevens, maar ook met de aankopen die je doet"
of valt de verkoper ook onder de naam crimineel?
Alles wordt geregistreerd.. (en ja, bedrijven / overheden zijn ook crimineel dus)
edit:
de verkoper kan deze gegevens natuurlijk ook gewoon doorverkopen, die voorwaarden zijn meestal toch al geaccepteerd.
[Reactie gewijzigd door Limaad op woensdag 18 november 2009 14:46]
En wat dacht je dat google doet met hun banners op half de sites op het internet? (en google mail en google search en en en) Hun hele bedrijfsmodel is gabaseerd op het aanleggen van een zo gedetaillerd mogelijk profiel van alles en iedereen.
[Reactie gewijzigd door Roland684 op donderdag 19 november 2009 07:51]
Probleem is ook nog dat de beheerder van de website dit moet kunnen installeren en je hebt een eigen IP adres nodig voor een ssl verbinding.
Je hebt dus niet alleen te maken met de jaarlijkse kosten (die zover uiteenlopen dat je door de bomen het bos niet meer ziet)
Je hebt dus niet alleen te maken met de jaarlijkse kosten (die zover uiteenlopen dat je door de bomen het bos niet meer ziet)
[Reactie gewijzigd door Joolee op woensdag 18 november 2009 14:47]
Het probleem is gewoon dat het niet eenvoudig in de webshop-pakketten zit. Technisch is er geen reden om het niet te doen, het is alleen te ingewikkeld om wel te doen en te makkelijk om niet te doen.
Het probleem met SSL is dat het niet werkt als er meerdere websites op 1 IP adres zitten. Als de bouwer van de website ervoor zorgt dat de personalia niet samen met de bestelling worden verzonden, dan is er niets aan de hand. In theorie zou je het verkeer kunnen sniffen maar die informatie is nauwelijks iets waard.
De iDeal transacties zelf zijn altijd veilig omdat de feitelijke betalingsgegevens op de achtergrond via SSL worden uitgewisseld tussen de webserver en de bank en dat de transactie zelf via de website van de bank en de bezoeker verloopt.
Maar goed als je de website van Networking4all bekijkt dan zie je dat ze SSL certificaten verkopen. Duidelijk een gevalletje "Wij van wc-eend adviseren..."
De iDeal transacties zelf zijn altijd veilig omdat de feitelijke betalingsgegevens op de achtergrond via SSL worden uitgewisseld tussen de webserver en de bank en dat de transactie zelf via de website van de bank en de bezoeker verloopt.
Maar goed als je de website van Networking4all bekijkt dan zie je dat ze SSL certificaten verkopen. Duidelijk een gevalletje "Wij van wc-eend adviseren..."
Waarom zou SSL niet werken als er meerdere websites op 1 IP adres zitten?
Het IP heeft niets te maken met SSL.
Het IP heeft niets te maken met SSL.
jammer genoeg wel. als je meerdere virtual hosts draait op 1 ip dan gaat SSL niet werken.
De webserver weet niet voor welke virtual host de request bedoeld is omdat het HTTP packetje ingepakt is met SSL. In het request naar de server staat het ip nummer en dat het een SSL encrypted pakketje is. Hij kan dat niet "generiek" uitpakken omdat elke virtual host zijn eigen SSL cert heeft. hij kan dus niet bepalen naar welke host het moet.
De webserver weet niet voor welke virtual host de request bedoeld is omdat het HTTP packetje ingepakt is met SSL. In het request naar de server staat het ip nummer en dat het een SSL encrypted pakketje is. Hij kan dat niet "generiek" uitpakken omdat elke virtual host zijn eigen SSL cert heeft. hij kan dus niet bepalen naar welke host het moet.
Iets wat je op kunt lossen middels het inzetten van een reverse proxy die de SSL versleuteling doet. Echter heb dan ook niet zoveel aan je certificaat aangezien die fqdn gebonden is. (je zou een * cert aan kunnen vragen, maar trek dan je portemonnee maar open.)
Is niet helemaal meer waar. mod_ssl ondersteunt idd dit nog niet, maar mod_gnutls heeft een tls extensie aan boord die meerdere ssl sites op 1 ip mogelijk maakt. Naar ik begreep -heb 't zelf niet getest- ondersteunen alle moderne browsers dit ook.Het probleem met SSL is dat het niet werkt als er meerdere websites op 1 IP adres zitten.
Interessant. Maar veel zin heeft het toch niet als er vervolgens een e-mail naar de klant wordt gestuurd met daarin de gegevens van zijn/haar bestelling.
Ik denk dat Currence een heleboel kan doen door bijvoorbeeld een webshop met SSL een kortign te geven of gewoon de webshops zonder SSL net even meer in rekening te brengen. Op die manier houd Currence zich niet bezig met de beveiliging van de shops die iDeal gebruiken maar zullen veel shops wel eerder een overstap maken naar een veilige winkel omgeving voor de klant. Iets dat ook Currence alleen maar voor kan staan.
Hoe dan ook, ik denk dat er maar heel erg weinig criminelen de moeite zullen nemen een profiel van een mogelijk slachtoffer aan te leggen voor ze bijvoorbeeld inbreken bij. Er zijn nog te weinig mogelijkheden om dit makkelijk te doen en de meeste criminelen zijn nu eenmaal niet slim genoeg om zo iets zelf even te bouwen... wat dat betreft heeft Currence helemaal gelijk het is niet noodzakelijk voor een webshop om te zorgen dat criminelen moeilijker kunnen zien wat je zo al in je winkel wagen stopt bij een webwinkel...
Hoe dan ook, ik denk dat er maar heel erg weinig criminelen de moeite zullen nemen een profiel van een mogelijk slachtoffer aan te leggen voor ze bijvoorbeeld inbreken bij. Er zijn nog te weinig mogelijkheden om dit makkelijk te doen en de meeste criminelen zijn nu eenmaal niet slim genoeg om zo iets zelf even te bouwen... wat dat betreft heeft Currence helemaal gelijk het is niet noodzakelijk voor een webshop om te zorgen dat criminelen moeilijker kunnen zien wat je zo al in je winkel wagen stopt bij een webwinkel...
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
