Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 91 reacties, 11.648 views •

Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt, blijkt dat het aantal iDeal-webshops met een beveiligde verbinding met drie procentpunt is gestegen. 88 procent van de shops heeft echter nog altijd geen ssl-certificaat.

E-commerce winkelwagentje (kleiner)Beveiligingsbedrijf Networking4all deed voor de derde keer onderzoek naar de beveiliging van webwinkels die de betaalmethode iDeal aanbieden. Van de 13.600 onderzochte webshops gebruikte 12 procent een ssl-certificaat. Daarmee is het percentage aan beveiligde webwinkels gestegen; in 2008 was 9 procent van de webwinkels 'veilig', in 2007 was dat nog 6,9 procent.

Ondanks de stijging is het bedrijf, dat zelf ssl-certificaten aanbiedt, verontrust over de resultaten. Want hoewel het aantal veilige webshops relatief is toegenomen, zijn er in absolute aantallen meer 'onveilige' dan veilige webshops bijgekomen; ten opzichte van 2008 zijn er 3400 shops zonder certificaat bijgekomen, tegen 780 webwinkels mét. Dit terwijl een ssl-certificaat verplicht is om te voldoen aan de Wet Bescherming Persoonsgegevens, zegt Paul van Brouwershaven, technisch directeur van Networking4all.

Overigens is de betaling via iDeal in alle gevallen wel gewoon versleuteld en veilig, benadrukt Van Brouwershaven. Er zou voor webshops met iDeal zijn gekozen omdat er een lijst beschikbaar is met shops die de methode aanbieden; volgens Van Brouwershaven is het onmogelijk om op een andere manier aan een afgebakende lijst met webshops te komen.

Hoewel de betaling zelf dus veilig is - mits iDeal of een andere betalingsprovider met een versleutelde verbinding wordt gebruikt - brengt het ontbreken van een certificaat risico's met zich mee, zegt Van Brouwershaven. "Criminelen zouden profielen van je kunnen aanleggen, met behulp van je adresgegevens, maar ook met de aankopen die je doet", zegt hij. Hij vindt dan ook dat iDeal webshops die niet over ssl-certificaten beschikken, moet weigeren. Currence, het bedrijf achter iDeal, liet desgevraagd echter weten dat het zich niet met de beveiliging van aan iDeal deelnemende webshops wil bemoeien.

Reacties (91)

Reactiefilter:-191091+173+25+30
Moderatie-faq Wijzig weergave
Ok, is idd wat minder handig, maar SSL is ook niet heilig en is ook kwetsbaar, zie bijvoorbeeld dit nieuwsbericht: nieuws: Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk

Dus ook al gebruikt de site wl SSL, is dat nog geen garantie dat de verbinding ook daadwerkelijk secure is.

En laten we wel zijn, het bedrijf bied zelf SSL-certificaten aan. Je kan dan ook je vraagtekens plaatsen bij de betrouwbaarheid van het onderzoek, erg onafhankelijk is het niet op deze manier...
Ik vraag me af wat ook het kostenplaatje van dit verhaal is. Dit zal waarschijnlijk ook wel een reden zijn dat bedrijven niet zo snel over de streep getrokken worden.

Als je de prijzen vergelijkt van webshops en gewone winkels moeten de marges lager zijn dus deze extra onkosten moeten de webshops in deze tijd ook nog kunnen ophoesten natuurlijk.
Een eigen SSL certificaat is voor de kleine webshops "onbetaalbaar"...
Je betaalt zomaar een paar honderd euro netto per jaar. Eventueel kan je een share-certificate gebruiken en die zijn dan goedkoper.
Euh... COMODO bied al SSL-certificaten aan voor 70 dollar per jaar (bij 5 jaar totaal), dus dat valt wel mee, dat is dus 46 euro per jaar . Lijkt me voor elke shop, zelfs de kleintjes, prima te betalen.

Ja, je moet ze niet per se bij VeriSign gaan halen nee, die zijn idd een stuk duurder.

[Reactie gewijzigd door wildhagen op 18 november 2009 14:46]

Ja en bedenk ook even dat je per certificaat 1 ipadres nodig hebt, helemaal dus niet handig als je meerdere webshops hebt draaien op dezelfde server.

Ik denk in dit geval dat het Networking4all meer gaat om de misgelopen inkomsten, in die zin alle mensen welke nog geen certificaat hebben en voor hun potentiele klanten zijn.

Daarnaast zijn SSL certificaten gewoon te gemakkelijk te verkrijgen, en kan elke jan doedel deze aanschaffen zonder zichzelf bekend te maken.

Hier nog een net artikel welke beschrijft dat SSL helemaal niet zo veilig meer is:
http://blogs.securiteam.com/index.php/archives/1228
Euh... COMODO bied al SSL-certificaten aan voor 70 dollar per jaar (bij 5 jaar totaal),
Kan net zo veilig en gratis met een self-signed certificate.

Enige nadeel is dat de gebruiker een melding krijgt omdat de signing-authority onbekend is.
Ja, en dat wil je dus niet op een website, oogt nogal amateuristisch natuurlijk naar je klanten toe. Dan ga je dus niet met selfsigned certs werken...

Ik bedoel, als je geen 46 euro per jaar kan missen als webwinkel heb je kennelijk je zaken toch niet helemaal goed op orde, financieel gezien. Dat is notabene nog geen 4 euro per maand.

[Reactie gewijzigd door wildhagen op 18 november 2009 16:38]

Hoeveel maanden heeft een jaar op jouw planeet? :)

OT: Ik heb onlangs een webwinkel gemaakt voor mn vriendin. Bij het zoeken naar de kosten van een SSL certificaat schrok ik van de bedragen. De iDeal betalingen lopen via Multisafepay, zodat dit 100% veilig is, en goedkoper dan direct bij de bank.

iig moet de shop aardig gaan lopen wil een SSL certificaat geregeld gaan worden.
Ik weet niet waar jij naar gezocht heb voor een SSL certificaat maar ik heb ze gewoon voor m'n thuisserver. Kost me 15 euro per jaar. Als je dat niet kan betalen met je webshop dan doe je toch echt iets niet goed.

Een een self-signed certificaat is helemaal niet veilig, omdat je juist niet kan controleren of je met de juiste server te maken hebt. Een man-in-the-middle attack is dan een fluitje van een cent.
Aangezien dat toch weeral een extra kost is zie ik niet in waarom ik dit als webshop zou toevoegen..

Hoe goedkoper hoe beter, zowel voor de consument als mezelf :)
Tuurlijk wel! Net zoals deze toko voor de webmail: https://mailservers.wiwo.nl/ (self signed, verkeerde server & verlopen sinds 2003) 8)7
Doen ook security audits: http://www.wiwo.nl/?page=tarieven
Dat is dus niet veilig tenzij er vantevoren geverifieerd is dat jouw eigen CA keys kloppen met wat er uiteindelijk verstuurd wordt. Anders kun je niet verifieren of de certificaten die verstuurd worden ook daadwerkelijk de goede zijn en niet die van iemand in het midden.
Inderdaad, of Xolphin, heeft ook prachtige officiele SSL certificaten te koop voor echt niet veel geld per jaar.
Een SSL certificaat kost gemiddeld 150 euro per jaar. De setup kosten zijn meestal een 100 euro (dus eenmalig).

Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.

Als je een 128-bits encryptie hebt is deze nagenoeg niet te kraken. En uiteraard kan het voorkomen dat er een lek in de beveiliging zit. Windows heeft er honderden, dus waar praten we over.

De kosten zijn het probleem niet, maar meestal de gebrekkige communicatie van de webontwikkelaar. Je kan een webwinkel-eigenaar erg eenvoudig overtuigen van de noodzaak van een SSL certificaat. Sterker nog, als alle webontwikkelaars het zouden verplichten, zo ook de Consumentenbond, is dit probleem de wereld uit.
Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.

En jiju mag dat vinden ook.
Er is uitgebreide privacy wetgeving waarop een webshop aanspreekbaar is.
Maar een certificaat verplichten omdat een verkoper dat wil lijkt me niet de goede weg.
Verplcihtingen moeten voortvloeien uit iets anders dan commerciele belangen.
Zolang mensen nog voor een kans op een gratis zak chips al hun gegevens afstaan is het voor een crimineel niet het rendabelst om dit soort gegevens bij niet gecertificeerde webshops te achterhalen
Elke webshop wil goed omgaan met privacy, dat niet doen kan je de kop kosten en dat wil je gewoon niet. OF moeten we ook maar verplichten dat elke webshop een thuiswinkelwaarborg heeft? Denk dat die club dat ook maar wat graag zou zien.

[Reactie gewijzigd door Silent7 op 18 november 2009 14:57]

Hoezo maak je uit mijn verhaal op dat het om een verkoper gaat die graag een SSL certificaat wil slijten? Het gaat om het waarborgen van de persoonsgegevens van consumenten, waar jij er waarschijnlijk ook n van bent.

Als veiligheid dan eigenlijk alleen maar draait om het geld dat ermee verdient wordt, dan schaffen we toch gewoon alle veiligheidsmaatregelen af die ooit verzonnen zijn?

Geen autogordels meer, geen helm op de brommer, geen kevlar vest voor agenten en geen pincodes meer op bankpasjes. gewoon omdat er organisaties zijn die daar geld aan verdienen. Verder dient het geen enkel doel, toch?
Ehm: lees je even het berichtje nogmaals?
Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt
De verkoper brengt een onderzoek naar buiten.

Vreemde boosheid hoor (neem maar een bakje koffie minder of een kopje thee meer ;)), want precies de voorbeelden die jij noemt zijn nu van belang om wel te reguleren waarbij verkeersmaatregelen zorgen voor hogere kosten voor gebruikers en dus een wettelijke basis nodig zullen hebben voor complete implementatie. De pincode is net een certificaatje iets anders, als webshop het niet goed doet kunnen ze failiet gaan en dat wil je niet, dus regels en verplichtingen is in een dergelijke situatie niet nodig, de markt reguleert zichzelf. Zo doet de ABN het in het geval van electronisch betalen zus, en de postbank zo, ik vind het systeem postbank minder veilig overkomen en gebruik dus ABN, wil de postbank mij als klant dan zullen ze hun systeem moeten aanpassen, en als er veel mensen zijn zoals ik dan zullen ze dat doen, daar is geen regel of verplcihting voor nodig.
Een standaard certificaat kost ongeveer 20 euro per jaar (bijvoorbeeld hier). Dit moet toch niet al te lastig zijn voor een webwinkel?

Disclaimer: ik heb niets met de betreffende SSL certificaat aanbieder te maken, dit is enkel het eerste resultaat in Google.

[Reactie gewijzigd door EDIT op 18 november 2009 14:44]

En zo een standaard certificaat voldoet niet echt aan de eisen voor een webshop...
Waarom niet, als ik vragen mag? 128bits encryptie is 128bits encryptie, toch? Wat is volgens jou dan het verschil met duurdere varianten, technisch?

Je betaalt - volgens mij - over het algemeen simpelweg voor het vertrouwen dat je in een bepaalt product stelt, of het vertrouwen dat het uitstraalt. Wil je enkel en alleen SSL-encryptie en zal het je verder worst zijn of dat van partij a, b of c is, kies dan lekker de goedkoopste. Wil je vertrouwen, pak dan een dure (EV-SSL oid). Als je maar wat doet.
Wij moesten hier ook even naar kijken. Toen bleek dat we per server (5) 2000 euro per jaar kwijt zijn.... Per (sub)domeinnaam..

[Reactie gewijzigd door kmf op 18 november 2009 14:40]

Wtf?? Wat voor oplichtersbende is dat dan?
Wij zijn met onze Thawte certificaten echt niet zo veel kwijt, hoor.
Dan ben je niet goed voorgelicht; voor 1000 euro ben je klaar. Jouw oplossing ligt bij GlobalSign wildcard-certificaten. Bij Globalsign mag je die op 3 servers installeren ipv op1, zoals bij Verisign en onderaannemingen van Verisign het geval is. Met nog 2 addidionele licenties (of een extra 'set' van 3 licenties) ben je dan dus gedekt voor je domein en alle subdomeinen op die 5 machines. Info op http://nl.globalsign.com/nl/ssl+certificaten/domainssl/ en http://nl.globalsign.com/...ificaten/organisationssl/

Ik ben onafhankelijk consultant en heb niets met Globasign verder. Doe je voordeel met dit gratis advies. Of niet natuurlijk.

[Reactie gewijzigd door garp op 18 november 2009 15:39]

ssl-ev kan rond de 600 per jaar zijn....
en dat voor een simpel certificaatje, van een paar kb
ik snap dat er veel administratie om heen zit etc. maar toch vind ik het prijzig
Kan. maar volgens mij kun je voor 30eur per maand (356euro p/jaar) best een goed en gevalideerd certificaat krijgen en goedkoper wil ook wel lukken.
Er zijn ook vele instanties die gratis certificaten verstrekken.
Om wildhagen nog even aan te vullen: ik heb recent comodo moeten wijzen op een procedurefout die me in staat stelde om een SSL certificaat voor elk gewenst domein, incl bijv mijn.ingbank.nl aan te vragen.

SSL kan de veiligheid een beetje verbeteren, maar dit onderzoek vind ik kortzichtig; SSL is niet het enige wat er toe doet. Niet heel vreemd, het is natuurlijk wel een bedrijf wat een onderzoek publiceert om meer klanten binnen te hengelen.
Maar wat voor SSL-certificaat je ook gebruikt (een valse of een self-signed, of zelfs een revoked), je gegevens worden versleuteld verstuurd, dus een 3e partij "in-the-middle" kan er niet bij.

Er zitten twee aspecten aan een SSL-certificaat:
1) Identiteit: Je hebt (een bepaalde) zekerheid dat je ook echt zaken doet met wie je denkt zaken te doen.
2) Encryptie: Je gegevens worden versleuteld verstuurd, dus iemand met een packet-sniffer kan niet zomaar meelezen met wat je heen en weer stuurt.
Met een self-signed certificaat kan er gewoon een man-in-the-middle tussen zitten? Immers, de key van de server kan niet gecontroleerd worden bij een vertrouwde instantie. Die key kan dus ook gewoon afkomstig zijn van bijvoorbeeld een Squid Proxy. Kan jij niet controleren.

Bij een echt certificaat wordt je dan gewaarschuwd.
ot: de WC-eend retailer doet een onderzoek naar de viezigheid van toiletten
Dit terwijl een ssl-certificaat verplicht is om te voldoen aan de Wet Bescherming Persoonsgegevens, zegt Paul van Brouwershaven, technisch directeur van Networking4all.
Heel objectief gezien is een SSL certificaat voor webshops wel een van de minst effectieve maatregelen om om bescherming van persoonsgegevens op een hoger plan te tillen. De reden waarom is ook eenvoudig: er is geen hond die op enig significante schaal verkeer gaat sniffen om erachter te komen hoe ik heet en waar ik woon (=meest voorkomende persoonsgegevens bij online shopping). Er zijn andere veel effectievere manieren daarvoor ;)

In klassieke security termen: de impact is vrijwel nul

Dit laat onverlet dat het wel good practice is om te doen. Ik zou er echter aan toe willen voegen om dan ook de andere echt serieuze aspecten aan te pakken en SSL niet tot de oplossing te verklaren, want dan kom je op niets meer uit dan security theater en daar wordt niemand beter van.

[Reactie gewijzigd door Rukapul op 18 november 2009 14:57]

Heel objectief gezien is een SSL certificaat voor webshops wel een van de minst effectieve maatregelen om om bescherming van persoonsgegevens op een hoger plan te tillen. De reden waarom is ook eenvoudig: er is geen hond die op enig significante schaal verkeer gaat sniffen om erachter te komen hoe ik heet en waar ik woon (=meest voorkomende persoonsgegevens bij online shopping). Er zijn andere veel effectievere manieren daarvoor ;)

In klassieke security termen: de impact is vrijwel nul
Hoho, niet te snel. Een van de websites die ik draai voorziet vrouwen van pillen t.b.v. abortus als die in landen wonen waar dat gewoonlijk niet mag. Dat ligt in sommige landen echt heel erg gevoelig. Om er direct maar van uit te gaan dat dat niet afgeluisterd wordt is wat naief.
Wat een ontzettende onruststokers daar, en ook zeker een "wij van wc eend" actie aangezien ze zelf die certificaten verkopen.

Jah dan wordt het onversleuteld over het internet verstuurd, waar zou het onderschept moeten worden?
Tussen waar het erin gaat (jouw router) en waar het eruit komt (bijv webshop) is er al geen mogelijkheid, tenzij je bij een ISP werkt en op dat niveau toegang hebt tot het netwerk.

Dan blijven er 2 mogelijkheden over: jouw LAN en de webshop.

Dus tenzij je op een hotspot zit ergens (packetsniffers), of een computer vol spyware hebt, lijkt het mij niets om je druk over te maken.

Mijn mening: versleutelen is altijd goed, maar vaak niet nodig, en certificaten zijn onzin, want je hebt geen certificaat nodig om dingen te versleutelen, een certificaat betekent meestal alleen dat je ervoor betaald hebt.

[Reactie gewijzigd door donotwant op 18 november 2009 21:09]

Het probleem met SSL is dat het niet werkt als er meerdere websites op 1 IP adres zitten. Als de bouwer van de website ervoor zorgt dat de personalia niet samen met de bestelling worden verzonden, dan is er niets aan de hand. In theorie zou je het verkeer kunnen sniffen maar die informatie is nauwelijks iets waard.

De iDeal transacties zelf zijn altijd veilig omdat de feitelijke betalingsgegevens op de achtergrond via SSL worden uitgewisseld tussen de webserver en de bank en dat de transactie zelf via de website van de bank en de bezoeker verloopt.

Maar goed als je de website van Networking4all bekijkt dan zie je dat ze SSL certificaten verkopen. Duidelijk een gevalletje "Wij van wc-eend adviseren..."
Waarom zou SSL niet werken als er meerdere websites op 1 IP adres zitten?
Het IP heeft niets te maken met SSL.
jammer genoeg wel. als je meerdere virtual hosts draait op 1 ip dan gaat SSL niet werken.

De webserver weet niet voor welke virtual host de request bedoeld is omdat het HTTP packetje ingepakt is met SSL. In het request naar de server staat het ip nummer en dat het een SSL encrypted pakketje is. Hij kan dat niet "generiek" uitpakken omdat elke virtual host zijn eigen SSL cert heeft. hij kan dus niet bepalen naar welke host het moet.
Iets wat je op kunt lossen middels het inzetten van een reverse proxy die de SSL versleuteling doet. Echter heb dan ook niet zoveel aan je certificaat aangezien die fqdn gebonden is. (je zou een * cert aan kunnen vragen, maar trek dan je portemonnee maar open.)
Het probleem met SSL is dat het niet werkt als er meerdere websites op 1 IP adres zitten.
Is niet helemaal meer waar. mod_ssl ondersteunt idd dit nog niet, maar mod_gnutls heeft een tls extensie aan boord die meerdere ssl sites op 1 ip mogelijk maakt. Naar ik begreep -heb 't zelf niet getest- ondersteunen alle moderne browsers dit ook.
Interessant. Maar veel zin heeft het toch niet als er vervolgens een e-mail naar de klant wordt gestuurd met daarin de gegevens van zijn/haar bestelling.
Net alsof elke webwinkel een paar honder euro per jaar wil betalen zodat de artikelen veilig in de winkelmand komen zonder dat iemand er iets vanaf weet.

Met betalen via IDEAL kom je toch op de site van je bank die wel SSL heeft.
Net alsof elke webwinkel een paar honder euro per jaar wil betalen zodat de artikelen veilig in de winkelmand komen zonder dat iemand er iets vanaf weet.
Niet iedere webwinkel zal dat inderdaad willen, maar als webwinkel is het een kleine moeite om dit te regelen. Voor een kleine €35 euro per jaar heb je al een certificaat en het geeft je klanten een veiliger gevoel als ze hun gegevens invullen met een beveiligde SSL verbinding.
mag ik vragen waar je die haalt?
is dat een selfsigned die firefox blockt?
Kijk eens op de website van de onderzoekers bijvoorbeeld: http://www.networking4all...per+validatie/domeinnaam/

Google ook eens op SSL Certificate RapidSSL of zo, dan kom je uit bij partijen die certificaten aanbieden vanaf 12,95 dollar. Geen geld.

Willekeurig google resultaat: http://www.webhostingtalk.com/showthread.php?t=861704

Goedkope certificaten zijn bijvoorbeeld de RapidSSL certificate, die worden netjes door vrijwel alle browsers herkend en dus niet geblockt.

[Reactie gewijzigd door garp op 18 november 2009 15:59]

Wordt een goedkoop cerfiticaat niet erg gemakkelijk uitgegeven en zegt het dus weinig over de betrouwbaarheid van de certificaten koper?
Tja, ze zijn 'domain validated', dus het toont alleen aan dat je inderdaad de 'beschikking' hebt over het domein. Het niet hebben van een certyificaat zegt ook niets over de betrouwbaarheid, maar met een certificaat heb je in ieder geval een encrypted sessie tussen je browser en de server bewerkstelligd, waardoor het verkeer dat zo over de lijn iig beschermd is.

Voor wat meer vertrouwen moet je richting EV (Extended Validation) certificaten gaan, maar dat is dan wel weer een hoop gedoe hoor. Ze willen dan echt allerlei bewijs van je hebben dat je organisatie valide is. Accountantsverklaring,uittreksel kvk (in het engels) et cetera. Ze gaan je ook daadwerkelijk mensen in je organisatie bellen en zo voorts....

Het is maar net wat je wilt....
En zelfs al zou je zo'n duur Versisign certificaat nemen a $900, dan is dat nog peanuts op de totale omzet van zo'n webshop op jaarbasis.
En waarschijnlijk aftrekbaar van de belasting (het zijn bedrijfskosten), dus netto nog minder.
Ze moeten die SSL-certificaten gewoon wat goedkoper maken. Voor een eenmanszaak kan dit een behoorlijke kostenpost zijn.
Ahum: startssl.com

Er is echt geen reden om geen SSL certificaten te gebruiken op je domein. Je kunt SSL certificaten zelf genereren of je kunt ze gratis krijgen of tegen een lage kost ($20/jaar).

Ikzelf shop bij geen enkele winkel die het volledige proces van uitchecken -> betaling en confirmatie niet over SSL doet.

Doe je dat niet dan kan iedereen gewoon meelezen wat je aankoopt en als ik nu een 32" TV aankoop wil ik niet dat er iemand anders zich voordoet als mijzelf tijdens de levering of achteraf in mijn huis komt om het weg te halen.
Jij parkeert vast en zeker ook steevast je auto een paar straten verderop zodat "zij" niet weten in welk huis die autosleutels te vinden zijn.. :z
"Criminelen zouden profielen van je kunnen aanleggen, met behulp van je adresgegevens, maar ook met de aankopen die je doet"
ow, en alleen de criminelen doen dat?
of valt de verkoper ook onder de naam crimineel?

Alles wordt geregistreerd.. (en ja, bedrijven / overheden zijn ook crimineel dus)

edit:
de verkoper kan deze gegevens natuurlijk ook gewoon doorverkopen, die voorwaarden zijn meestal toch al geaccepteerd.

[Reactie gewijzigd door Limaad op 18 november 2009 14:46]

En wat dacht je dat google doet met hun banners op half de sites op het internet? (en google mail en google search en en en) Hun hele bedrijfsmodel is gabaseerd op het aanleggen van een zo gedetaillerd mogelijk profiel van alles en iedereen.

[Reactie gewijzigd door Roland684 op 19 november 2009 07:51]

Probleem is ook nog dat de beheerder van de website dit moet kunnen installeren en je hebt een eigen IP adres nodig voor een ssl verbinding.
Je hebt dus niet alleen te maken met de jaarlijkse kosten (die zover uiteenlopen dat je door de bomen het bos niet meer ziet)

[Reactie gewijzigd door Joolee op 18 november 2009 14:47]

Het probleem is gewoon dat het niet eenvoudig in de webshop-pakketten zit. Technisch is er geen reden om het niet te doen, het is alleen te ingewikkeld om wel te doen en te makkelijk om niet te doen.
Er wordt te weinig SSL gebruikt!!!111 ...zegt de verkoper van SSL-certificaten... :')

Natuurlijk hebben ze deels wel gelijk hoor, maar laten we het niet gaan overdrijven. Ik denk dat de beveiliging van veel webwinkels zelf een groter probleem is dan het gebrek aan SSL. Het heeft weinig nut dat je gegevens beveiligd over de lijn gaan als de webwinkel zelf vatbaar is voor XSS-aanvallen of andere beveiligingslekken heeft.

Dan nog wat: de kosten van zo'n certificaat zijn voor kleine webwinkel nog wel op te brengen (paar tientjes op jaarbasis), maar veel kleinere webwinkels zullen op een shared hostingaccountje draaien, en dan werkt SSL niet: je moet namelijk een dedicated IP-adres hebben. De extra kosten voor hosting worden vaak buiten beschouwing gelaten, terwijl dat toch behoorlijk in de papieren kan lopen.
Er wordt te weinig SSL gebruikt!!!111 ...zegt de verkoper van SSL-certificaten...
Dat is niet eens wat het geval is. Er wordt wel SSL gebruikt, maar dan met self-signed certificaten. Dus de encryptie is er wel, enkel de waarborging dat je met de juiste partij zit te babbelen niet.

Dus het is allemaal wat overtrokken, gezien het feit dat je voor de gemiddelde man-in-the-middle attack niet eens SSL hoeft te gebruiken (geen SSL, geen meldingen), niemand (de huis-, tuin- en keukgengebruiker) die het merkt.

[Reactie gewijzigd door Rune op 18 november 2009 15:28]

Wat een onzin, dit is helemaal niet verplicht volgens de Wet Beschermings Persoonsgegevens. Of je moet je klanten ook meteen even naar religie en BSN gaan vragen.

De betaling is goed beschermd. Verder worden er niet meer gegevens uitgewisseld dan die in het telefoonboek staan.

SSL invoeren is best wel gedoe, met name als er veel websites op een server draaien. Daarbij kost het versleutelen van je webpagina ook performance. Het zou aardig zijn om te bekijken wat er met het energieverbruik van Internet gebeurt als we alles gaans ssl-en.
De betaling is goed beschermd. Verder worden er niet meer gegevens uitgewisseld dan die in het telefoonboek staan.
Nee, maar het zou prettig zijn als criminelen niet al te gemakkelijk kunnen meekijken als ik online een reis boek. Leuk dat de betaling zelf encrypted is, maar als ze unencrypted kunnen zien wanneer ik 3 weken niet thuis ben, is de schade wel wat groter.

Of even kijken waar die breedbeeld-tv's geleverd gaan worden, of of of...

Vergezocht misschien, maar helemaal onzinnig is het nou ook weer niet.
SSL invoeren is best wel gedoe, met name als er veel websites op een server draaien. Daarbij kost het versleutelen van je webpagina ook performance. Het zou aardig zijn om te bekijken wat er met het energieverbruik van Internet gebeurt als we alles gaans ssl-en.
Als je dermate veel transacties te verwerken hebt dat ssl een significante overhead gaat vormen, laat staan dat je het terugziet op je energierekening, dan ben je wel een dusdanig grote winkel dat die paarhonderd euro voor een certificaat er ook niet meer toe doen.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True