Aantal .nl-websites met ssl-certificaat stijgt flink

Het aantal .nl-websites dat gebruikmaakt van een ssl-certificaat is sterk gestegen, meldt SIDN. Volgens de stichting die het domein beheert, steeg het aantal in het afgelopen jaar van 82.000 naar 390.000. De helft van de .nl-webshops gebruikt nu ssl.

De groei in het gebruik van ssl-certificaten voor het versleutelen van de verbinding begon in 2015. Vanaf toen nam Google de aanwezigheid van zo'n certificaat mee bij het bepalen van de positie in de zoekresultaten. Volgens SIDN zijn de gratis certificaten van Let's Encrypt bij webshops die gebruikmaken van het .nl-domein populair. Een derde van de .nl-webwinkels gebruikt deze.

De stichting meldt ook dat het aantal webshops in Nederland flink is toegenomen. In totaal zouden er nu zo'n 130.000 actief zijn, waarvan er 89.000 een .nl-domein gebruiken. Een jaar eerder waren dat er nog 74.000, waarmee de stijging uitkomt op 20 procent. Van de webshops met een .nl-domein beschikken er 49.000 nu over een ssl-certificaat, dat is iets meer dan de helft.

In feite zou iedere webshop over een ssl-certificaat moeten beschikken, omdat er bij bestellingen persoonsgegevens worden verwerkt. Dat merkt ook SIDN op in een artikel over veelgemaakte fouten bij webshops. Uit de gepubliceerde cijfers blijkt dat veel webwinkels daar dus niet aan voldoen.

Als het gaat om betaalmethodes bij Nederlandse webshops is iDeal nog altijd het populairst. Ondersteuning hiervoor steeg met 12 procent naar 37.000 webwinkels. AfterPay, een methode om achteraf te betalen, is nu beschikbaar bij 3400 shops, meldt SIDN. Er zijn 1040 .nl-webshops waar klanten met Bitcoins kunnen betalen.

Reacties (165)

Verwijderd 28 juni 2017 14:30

Let's Encrypt bij webshops? Is dat wel zo professioneel?

teek2

@Verwijderd • 28 juni 2017 14:34

Dit blijf je maar horen hier maar ik snap niet waarom, ssl is ssl. Als jij een duur cert hebt maar een https://www.ssllabs.com/ssltest/-score "E" dan ben je een prutser met een duur certificaat. Maar, succes met het faken, hacken en decrypten van mijn Raspberry Pi met Nextcloud met een A+ score en Let's encrypt cert.

Ok, LE heeft geen extended validation en ja, dat is nog professioneler maar ook veel veel duurder.

Verwijderd @teek2 • 28 juni 2017 14:39

Je betallt gewoon een voor groene balk omdat ze je KvK checken en je op je nummer bellen waar 2 verschillende mensen op moeten nemen... ik kan je verzekeren dat je zelf ook 2x kan opnemen hoor... hoe verkoop je anders een dergelijk certificaat aan een Eenmanszaak ?

mrdemc @Verwijderd • 28 juni 2017 15:03

Ik ben bij dat certificaat nog nooit tweemaal gebeld. Hoe het in ons geval is gegaan is dat er een KVK check plaatsvindt, de gegevens in de KVK worden vervolgens vergeleken met de gegevens in de aanvraag, die moeten overeenkomen. Vervolgens wordt je gebeld op het nummer dat bij de KVK staat aangegeven en dus ook in de aanvraag stond. Daar moet diegene die volgens de aanvraag het verzoek heeft gedaan bevestigen dat de aanvraag ook daadwerkelijk door hem/haar is gedaan. Als dat is bevestigd ontvang je per post het contract dat je dan moet ondertekenen waar ook een afgedrukt exemplaar van de certificate request bij zit. Deze moet je dan scannen en opsturen per e-mail of per fax. Daarna krijg je op het opgegeven e-mailadres het certificaat.
Waar de meeste de fout mee in gaan is dat ze denken dat ze met een EV certificaat veiliger zijn, dat is dus wat @teek2 ook al zegt niet zo. Een goedkoop certificaat, zelfs een self-signed certificaat, zorgt er alleen voor dat je weet dat je op een bepaalde verbinding zit en dat het versleuteld is. De beveiliging is dan weer zaak van de webserver die de versleuteling daadwerkelijk ook moet toepassen.
Echter is het, indien correct gebruikt bij de gebruiker van de website, wel veiliger om een EV te gebruiken puur qua proces, niet technisch. Het nadeel van een LE certificaat is dat je alleen kunt bevestigen dat het domein dat je gebruikt op een bepaalde manier versleuteld is en dat de webserver het certificaat horende bij het domein tot z'n beschikking heeft. De extra mogelijkheid die een EV certificaat biedt is dat je ook kunt bevestigen dat het domein dat je hebt ingetypt ook daadwerkelijk door de aanbieder wordt gebruikt die je wil hebben.
stel ingbank.nl is van de ING Bank NV en ing.nl was van een oplichter. Beiden kunnen ze een certificaat aanvragen en daarmee een groen slotje krijgen. In beide gevallen zou je dan kunnen zeggen: Ik zit op de website van ING. Echter alleen ING Bank NV kan een EV aanvragen met daarin hun volledige bedrijfsnaam zoals ze bij de KVK staan ingeschreven. Dus als ik dan in de balk ING Bank NV zie staan bij ingbank.nl dan weet ik dat ik ook echt op de website van die bank ben. Mocht ik daarna op een site komen zonder die bedrijfsnaam maar met groen slotje weet ik direct dat het dus niet de website van ING Bank NV is.
Helaas heeft een EV niet veel nut als niemand weet hoe ze de verschillende certificaten moeten interpreteren.

devlaam @mrdemc • 28 juni 2017 16:22

Prima uitgelegd zo. Het probleem met dit geheel is dat bericht beveiliging en verificatie van domein bezit via één certificaat aan elkaar gekoppeld zijn. Het eerste zou helemaal geen poespas moeten vereisen, maar gewoon onder water altijd geregeld moeten zijn. Maw, een eigen ssl-certificaat zou je gewoon moeten kunnen aanmaken en door de browser moeten worden geaccepteerd voor wat het waard is. Een beveiligde verbinding tussen twee eindpunten en verder niets. De domein verificatie zou dan een apart certificaat vereisen. En omdat hier een vertrouwde derde partij voor nodig is, is het ook logisch dat dat geld kost, want die moet ook echt een controle procedure uitvoeren. Als de browser dit met twee verschillende symbolen gaat communiceren, dan snapt Jan Gewoon dit ook echt wel.

Blokker_1999

Internet

@devlaam • 28 juni 2017 18:11

Probleem met self signed te accepteren is dat je niet meer kunt nagaan of iemand tussen jezelf en de server de communicatie heeft onderschept, de data heeft gedecrypt en na analyse opnieuw heeft ondertekend om verder door te sturen. En ondanks dat er vandaag technieken zijn die het mogelijk maken om certificaten te verifiëren op een andere manier dan een CA blijven deze technieken nog zeer weinig gebruikt.

Het belangrijke verschil tussen een DV en EV certificaat is wat je wil doen met je certificaat. DV certificaten zoals deze van Let's Encrypt hebben tot doel de communicatie tussen server en client te beveiligen. EV certificaten hebben tot doel de identiteit van de persoon of instelling achter een site te bevestigen.

En ik wens je veel succes om dat verschil aan een gebruiker uit te leggen die niet eens het belang kent van een groen slotje.

OddesE @Blokker_1999 • 28 juni 2017 19:27

Ik bespeur hier op Tweakers toch wel een sterke onderschatting van de gemiddelde gebruiker. 'Normale' computer gebruikers zijn niet goed bekend met het IT landschap. Maar ze zijn niet dom hoor! Ze snappen prima wat het slotje in de adresbalk betekent. En ze snappen ook wel dat die groene balk 'nog veiliger' is.

Helaas denk ik dat velen niet weten dat het groene balkje met de bedrijfsnaam betekent dat je gegarandeerd op de site van dat bedrijf zit en niet op een andere. En andersom dat de meesten ook niet weten dat ontbreken van dat balkje betekent dat je feitelijk alleen weet dat de verbinding beveiligd is en je inderdaad met het getoonde domein aan het communiceren bent. Alleen dit komt gewoon doordat hier onduidelijk over gecommuniceerd wordt. Mensen staan vooraan om te roepen dat iets wel of niet veilig is, maar echt uitleggen *waarom* dat zo is gebeurt veel minder.

De Rabobank doet dit wel goed. Die leggen op hun eigen site uit wat dat groene balkje betekent en waarom het belangrijk is om altijd te controleren dat dat balkje er wel staat. Hoeveel mensen dat gaan lezen is een tweede natuurlijk. Maar die informatie moet veel helderder, eenduidiger en zonder bangmakerij verstrekt worden. Dan gewoon regelmatig herhalen. Binnen no-time snapt iedereen het. Dit gebeurt helaas te weinig. Wij hebben het liever over WannaCry en roepen wat nummers over hoeveel besmettingen er wel niet zijn in plaats van de basics goed uit te leggen.

EDIT: Zie hier een voorbeeld van uitleg die rabo geeft, in dit geval over phishing mails die momenteel in omloop zijn.

[Reactie gewijzigd door OddesE op 22 juli 2024 13:28]

FvdM @OddesE • 28 juni 2017 22:43

Ik denk dat inconsistent gebruik ook bijdraagt aan de slechte bekendheid. Bijvoorbeeld DigiD had eerst een DV, toen een upgrade naar EV en nu weer een DV. Als de integriteit gevoelige organisaties EV al niet echt toepassen dan went ook niemand eraan dat een EV meer zegt over de identiteit van een site dan alleen het gewone slotje. Ik ben dan ook van mening dat EV een vereiste moet zijn voor alle overheidsites, banken, etc.

OddesE @FvdM • 29 juni 2017 00:12

Ja eens. En Google zou wat dit betreft ook wel eens het goede voorbeeld mogen gaan geven. 'Encryptie is belangrijk!' roepen en de search ranking gaan aanpassen, maar zelf niet voor 200,- per jaar (of minder nog) een EV certificaat aan google.com hangen is wel een beetje tegenstrijdig eigenlijk.

cdwave @devlaam • 29 juni 2017 12:57

... Maw, een eigen ssl-certificaat zou je gewoon moeten kunnen aanmaken en door de browser moeten worden geaccepteerd voor wat het waard is...

Uitsluitend en alleen als je dat via een extern pad doet.

Als je een eigen server hebt, zelf een certificaat maakt, en thuis de public key op je telefoon zet en als "trusted" markeert, dan is dat prima. Je kunt nu via publieke wifi ofzo veilig met je thuisserver communiceren met de zekerheid dat er niets "tussen" kan zitten.

Wat niet werkt is in een internetcafé gaan zitten, en bruut op de "Add exception" knop drukken voor je thuissite. Daar kan dan nog steeds iemand tussen zitten. Als je dat wil, had je thuis even de signature op een briefje moeten schrijven en die in het internetcafé vergelijken met wat er op het scherm komt. Of vergelijken met de informatie op je telefoon als je die thuis al vertrouwd had gemaakt.

SSL encryptie zonder certificaat verificatie is waardeloos. Maar die verificatie hoeft echt niet door een dure derde partij te gebeuren, ook al is dat makkelijker in gebruik.

teek2

@mrdemc • 28 juni 2017 15:41

Mooi stuk tekst. En dit zou eigenlijk op school bij een vak als digitale vaardigheden aan bod moeten komen want het is erg belangrijk om te snappen. Maar ik vrees dat maar zeer weinig mensen deze concepten snappen en dan ook daadwerkelijk hun gedrag zouden aanpassen als ze per ongeluk op imgbank.nl met een groen slotje zitten. Het koste mij ook erg lang en veel zelf gepruts voor ik het snapte, laat staan dat het intuïtief wordt. Cory Doctorow's Little brother is trouwens wel een leuk boek wat concepten als public/private key encryptie best goed uitlegd (https://en.wikipedia.org/..._Brother_(Doctorow_novel))

familyman @teek2 • 29 juni 2017 03:58

Daarnaast zou ik het best gaaf vinden als wij - met een goed werkend kvk - bij inschrijving toegang konden krijgen tot een EV certificaat, waarbij KvK de uitgever is.

MrManuel

@teek2 • 29 juni 2017 14:00

Precies wat je zegt.
Beheer zelf mijn eigen website's en van 2 'klanten'.
Allemaal een A score, en gewoon een LE cert.

Kees BOFH @Verwijderd • 28 juni 2017 15:08

De site waar je dit op schrijft heeft ook een Let's Encrypt certificaat

Dark Angel 58 @Verwijderd • 28 juni 2017 14:49

Let's Encrypt bij webshops? Is dat wel zo professioneel?

Niet echt professioneel, maar het toont geen bedrijfsnaam en zo.
Maar het is wel gratis en je kunt auto renew certificaat aanzetten die het certificaat elke 2 maanden (denk ik) vernieuwt.

Yggdrasil

@Dark Angel 58 • 28 juni 2017 16:33

Hoezo niet professioneel? Verreweg de meeste websites gebruiken Domain Validated (DV) certificaten. Of je die nou bij Let's Encrypt haalt of bij een ander maakt technisch letterlijk niks uit. Even veilig als de DV certificaten van Comodo, Symantec, etc. Browsers zoals Chrome tonen niet eens meer de uitgevende instantie tegenwoordig, dus een bezoeker zal geen idee hebben of ie een LE of een betaald cert heeft. Of je LE, Comodo, Symantec, etc. gebruikt maakt voor professionaliteit niet uit.

Om je bedrijfsnaam te tonen moet je een Extended Validation (EV) cert kopen. De techniek en encryptie-sterkte is niet anders dan bij DV, maar bij de aankoop daarvan wordt niet alleen controle over de domeinnaam gecheckt maar bijv. ook je KvK inschrijving en of er contact gemaakt kan worden met een persoon bij het bedrijf. Die extra controles maken het wel iets veiliger en inderdaad 'professioneler', maar ook beduidend duurder en zijn niet te automatiseren.

LE geeft daarom alleen DV certificaten uit. Die zijn gratis en 90 dagen geldig. De meeste clients beginnen na 60 dagen te vernieuwen, om een overlap te hebben voor problemen.

Cilph @Dark Angel 58 • 28 juni 2017 15:09

Hoeveel webwinkels ken jij met een EV certificaat die bedrijfsnaam toont?

Dark Angel 58 @Cilph • 28 juni 2017 16:25

Hoeveel webwinkels ken jij met een EV certificaat die bedrijfsnaam toont?

coolblue.nl
bol.com
enzovoort

OddesE @Dark Angel 58 • 28 juni 2017 19:14

Tja je noemt er twee. Maar er zijn dus blijkbaar 390.000 websites met een certificaat en ongeveer even veel zonder. Dus 2 op grofweg 800.000 is een druppel op de gloeiende plaat. Je noemt ook zeer high profile websites. Voor hen zijn EV certificaten ook bedoeld, omdat ze veel meer risico lopen door een phisher nagebootst te worden.

Overigens begon de discussie met de vraag of een Let's Encrypt certificaat wel zo professioneel is. Maar dat staat los van de vraag of een EV certificaat meerwaarde biedt boven een DV certificaat. Ik denk van wel. Voor bol.com toch zeker, maar ook wel voor kleinere sites. Maar zolang er nog bijna 400.000 sites überhaupt niet op HTTPS draaien is het toch maar de vraag of je die 100 ooit terugverdient. Klanten schijnt het niet zo veel te boeien blijkbaar.

Cerberus_tm

@OddesE • 29 juni 2017 02:01

Wat ik me afvraag, stel ik wil mijn bedrijfsnaam ABN Arnro (rn, dus niet m) laten tonen in een groen balkje. Wat moet ik daarvoor doen? Moet ik dan ABN Arnro bij de KvK laten registreren, en wordt de te tonen naam dan precies overgenomen van de KvK? En zou de KvK toestaan dat ik die naam registreer? En wat als ik er alleen ABN van maak? Zou de KvK dat toestaan? Of ABM Bank? Allerlei mensen zullen dan opmerken dat het niet ABN is, maar als genoeg mensen net even niet goed kijken denken ze bij mijn site dat ze bij de echte bank zijn beland...

Kortom, ik vraag mij af hoe het zit met misleidende namen in de groene balkjes. Is daar een waterdicht systeem tegen?

En wat als ik nou ABN laat registreren in een land waar die bank niet bij de plaatselijke KvK staat? Of wat als een land nou een slechte of omkoopbare KvK heeft, waardoor ik daar ABN Amro kan laten registreren als mijn officiële bedrijfsnaam?

OddesE @Cerberus_tm • 29 juni 2017 14:39

ABN Arnro bij de KvK laten registreren, en wordt de te tonen naam dan precies overgenomen van de KvK? En zou de KvK toestaan dat ik die naam registreer?

Ja, je moet die naam bij de KvK laten registreren. En als het goed is wordt die dan inderdaad overgenomen.

Zou de KvK het toestaan? Hopelijk niet! Maar het is mensenwerk dus wie weet.

Maar stel het lukt je. Je gebruikt de KvK registratie om een EV certificaat te krijgen, je plakt die op je domein abnarnro.nl en plaatst daar een levensechte kopie van de ABN Amro site. Een phishingmail er achteraan en je harkt het geld binnen.

Die mensen gaan klagen. En dat EV certificaat en die KvK registratie gaan vergezeld van een identiteitscheck. Men weet dus dat jij het gedaan hebt. Ze weten wie je bent, waar je woont, wat je bankrekening nummer is etc. Dus heb jij zelf ook een enorm probleem.

Dit zou je weer kunnen proberen op te lossen door er een katvanger tussen te zetten. Eén of andere zwerver die je meeneemt zodat je met zijn paspoort op zijn naam alles laat registreren. Zo gebeurt dat vaker.

Dus 100% veilig is het nog steeds niet. Maar het is wel veel veiliger.

Cerberus_tm

@OddesE • 29 juni 2017 15:32

Precies zo zou ik het doen inderdaad, met katvanger. Het klinkt toch niet echt supermoeilijk. Zou het vaak gebeuren, vooral ook vanuit landen met een slechte KvK die ook nog nooit van ABN heeft gehoord? Ben benieuwd.

OddesE @Cerberus_tm • 29 juni 2017 16:00

Tja het is mensen gelukt om 10 jaar lang een ambassade te faken. Dus alles kan. Blijkbaar.

Cerberus_tm

@OddesE • 29 juni 2017 16:32

Haha nice.

xtra @Cilph • 28 juni 2017 15:49

Steeds meer, o.a. omdat ze steeds betaalbaarder worden. Voor de uitstraling heeft het wel een meerwaarde dus als die opweegt tegen de kosten zou ik het ook doen. Voor minder dan € 100 per jaar is dat al snel.

SPOXYWOXY @Verwijderd • 28 juni 2017 14:31

De doorsnee webshop bezoeker ziet een slotje en denkt dat het veilig is. Dus waarom moeilijk doen als webshop?

eborn @SPOXYWOXY • 28 juni 2017 14:33

En daarnaast hebben veel webshops die betaalde certificaten gebruiken ook gewoon een DV (Domain Validated) certificaat. Dus dan is het verschil al helemaal niet te zien.

Het wordt pas interessant als je een EV certificaat aanschaft. Maar dat doen meestal alleen de grote jongens, zoals Bol.com en Coolblue.

OddesE @eborn • 28 juni 2017 14:48

En daarnaast hebben veel webshops die betaalde certificaten gebruiken ook gewoon een DV (Domain Validated) certificaat. Dus dan is het verschil al helemaal niet te zien.

Sterker nog, er *is* dan geen verschil. Let's Encrypt valideert of je controle hebt over het domein waar je de aanvraag voor doet en that's it. Maar dat is precies wat 'de rest' ook doet. Let's Encrypt biedt het alleen gratis aan en stuurt er op dat aanvragen geautomatiseerd plaatsvinden. En laat de certificaten relatief snel verlopen. Theoretisch is Let's Encrypt feitelijk veiliger dan een willekeurig certificaat dat 2 jaar geldig is en waarbij ook alleen het domein gevalideerd is. Omdat de certificaten korter geldig zijn.

Wil je meer veiligheid 'uitstralen', moet je naar een EV certificaat. Maar zo naar de adresbalk van dit browser venster kijkend heeft Tweakers,net ook alleen een domain validated certificaat. En trouwens, kijk eens op google.com. Inderdaad, geen EV certificaat.

If it's good enough for them, it's good enough for me.

dnzm @OddesE • 28 juni 2017 14:53

Tweakers gebruikt Let's Encrypt.

OddesE @dnzm • 28 juni 2017 15:01

Yup. En rightly so.

Ik kan me nog wel discussies herinneren over of het mogelijk was om Tweakers standaard onder SSL te draaien. Dat was allemaal heel lastig. Totdat het de search ranking ging beïnvloeden, toen kon het ineens wel. Tja zo gaat dat.

Wat dat betreft mogen we Google dankbaar zijn. Ze doen ook een hoop fout maar ik durf te beweren dat ze in dit geval vrijwel in hun eentje het internet significant veiliger gemaakt hebben door die search ranking als stok achter de deur te gebruiken.

Politiek gezien is het wel een hellend vlak dat ze hun eigen agenda erdoor drukken door de search als 'wapen' in te zetten. Wat als ze straks andere, minder nuttige, doelen hebben en ook daar search voor gaan inzetten? Dat wil je eigenlijk niet. Maar in dit geval heeft het heel goed uitgepakt.

[Reactie gewijzigd door OddesE op 22 juli 2024 13:28]

Thralas @OddesE • 28 juni 2017 20:47

Wat dat betreft mogen we Google dankbaar zijn. Ze doen ook een hoop fout maar ik durf te beweren dat ze in dit geval vrijwel in hun eentje het internet significant veiliger gemaakt hebben door die search ranking als stok achter de deur te gebruiken.

Niet alleen dat, ook op het browservlak lopen/liepen ze jaren aan kop qua security. En ze pushen enorm met het uitfaseren van ouderwetse ciphersuites en algoritmes.

Men kan vinden wat men wil van het feit dat het bedrijf z'n miljarden binnenhaalt met het verkopen van data, maar qua security zijn ze een rolmodel voor velen (al dan niet vanwege dat kapitaal).

Peatsmoke

@OddesE • 28 juni 2017 19:08

Daarom zijn er gelukkig alternatieven en zijn er mensen -zoals ik- die Google inmiddels helemaal niet meer gebruiken.

Cerberus_tm

@Peatsmoke • 29 juni 2017 02:04

Ik wou dat ik dat ook kon doen, maar helaas is de zoekmachine van Google toch echt de beste voor mij.

Peatsmoke

@Cerberus_tm • 29 juni 2017 08:06

Waarschijnlijk omdat hij genoeg data over jou heeft weten te verzamelen...

Ik gebruik al geruime tijd duckduck en incidenteel startpage.com.
De zoekresultaten daarvan zijn prima en niet gebaseerd op eerdere zoek gegevens, inhoud van Gmail, locaties die ik bezocht enz.

Cerberus_tm

@Peatsmoke • 29 juni 2017 14:00

Mwa, dat gedeelte van de resultaten kan me eerlijk gezegd gestolen worden. Maar ik wil de meest obscure aanwijzing vinden van oude Internetfora, etc.

BeosBeing @Peatsmoke • 3 juli 2017 14:28

Waarschijnlijk omdat hij genoeg data over jou heeft weten te verzamelen...

Mogelijk.

Ik gebruik al geruime tijd duckduck en incidenteel startpage.com.
De zoekresultaten daarvan zijn prima en niet gebaseerd op eerdere zoek gegevens, inhoud van Gmail, locaties die ik bezocht enz.

Duckduck heb ik ook een tijdje gebruikt en doe ik incidenteel ook nog. Ik merkte echter ook duidelijk mindere resultaten. Veelal zocht ik daarna toch weer op Google. Met ixquick/startpage heb ik dat veel minder. Bing geeft trouwens ook nauwelijks bruikbare resultaten.

Wel merk ik ook dat Google.be andere resultaten geeft als Google.nl en soms is dat precies wat ik wil. .com gebruik ik niet, die wordt volgens mij qua resultaten anders toch doorgeleid naar .nl. Enkel als ik bewust iets Amerikaans wil zoeken dan zou ik dat proberen, waarschijnlijk wel via een incognito-browser. Voor maps werkt dat inderdaad, de eerste keer zoekt die in de staten.

YangWenli @OddesE • 29 juni 2017 09:35

Wat een naïviteit. Ze doen dat allemaal om Chrome te pushen. Niets meer en niet minder.

supersnathan94

Internet

@Verwijderd • 28 juni 2017 17:55

Dat soort uitspraken snap ik nog steeds niet geheel. Als je iets koopt via ideal dan zie je toch gewoon waar het geld naartoe gaat? Daar kan een aanvaller vrij weinig aan veranderen nadat ideal is gestart aangezien het een api is die daarna de boel extern afhandelt.

Je controleerd toch voordat je op Ok klikt dat de juiste bedrijfsgegevens er staan?

Zer0 @supersnathan94 • 28 juni 2017 18:26

Je controleerd toch voordat je op Ok klikt dat de juiste bedrijfsgegevens er staan?

En vaak staan daar dan gegevens van een paymentprovider....

supersnathan94

Internet

@Zer0 • 28 juni 2017 19:40

En hoe kan een oplichter die info dan veranderen? Dergelijke data wordt allemaal statisch ingeladen met als enige verschil bedrag en referentie (ordernr oid).

Als er een payment provider vermeld staat is het toch ook goed? Die doen alleen zaken met geregistreerde bedrijven en particulieren die er voor betalen dus dat kan bijna niet fout gaan. Daarnaast hebben bijna alle payment providers tegenwoordig dat ze het bedrijf vermelden waar je iets van koopt.

Zer0 @supersnathan94 • 28 juni 2017 22:50

Die doen alleen zaken met geregistreerde bedrijven en particulieren die er voor betalen dus dat kan bijna niet fout gaan.

Dat is er naïef, oplichters vind je in alle vormen en maten, dus ook als geregistreerd bedrijf.

supersnathan94

Internet

@Zer0 • 29 juni 2017 08:39

Oke fair enough, maar daar gaat ssl je niet bij helpen. Als je gewoon met het juiste bedrijf zaken doet wat toevallig uitzichzelf de boel oplicht gaat zelfs een EV cert niets uitmaken.

musiman

@OddesE • 28 juni 2017 15:39

Ik vind het sowieso belachelijk hoe duur bepaalde certificaten zijn, terwijl je er nul meerwaarde voor hebt, behalve dat het dan wel "een Verisign certificaat" is. Zo gebruikt Xolphin als ssl certificaten verkoper ook zelf gewoon een goedkoop Comodo certificaat voor hun site. Dus waarom meer dan 10x zoveel uitgeven aan een Verisign validated certificate?

Waar ik werk hebben wij geen webshop, maar geven wel security trainingen. Onze site is echter ook SSL beveiligd. Met Let's Encrypt uiteraard.

ALLE websites, dus niet alleen webshops, zouden standaard van HTTPS gebruik moeten maken.

OddesE @musiman • 28 juni 2017 19:32

Tja het stomme is, hoewel technisch gezien HTTPS met een self-signed certificate veel veiliger is dan helemaal geen encryptie, browsers hier zeer para over doen. Die behandelen je website alsof het malware is. "Weet u zeker dat u wilt doorgaan naar deze onveilige site?". Dus voordat Let's Encrypt certificaten uit begon te delen was de enige mogelijkheid om te betalen. En dan is dat voor een hobbyist gewoon niet interessant. Draai je lang op plain HTTP, krijg je de situatie met mixed content waarschuwingen waar Tweakers ook zo'n last van had, waardoor de overstap lastig wordt. Wederom, dergelijke waarschuwingen krijg je niet als je gewoon op plain HTTP draait.

De browsers zijn dus bevooroordeeld richting self-signed certificaten. Al jaren en jaren. Ik hoopte altijd dat dit zou veranderen (wilde ook graag alle verkeer encrypted zien), maar uiteindelijk lost het zich met Let's Encrypt ook op. En zijn we beter af dan met self-signed.

deadinspace @OddesE • 28 juni 2017 23:24

Tja het stomme is, hoewel technisch gezien HTTPS met een self-signed certificate veel veiliger is dan helemaal geen encryptie, ...

Dat is simpelweg niet waar.

Bij een self-signed certificate weet je dat de verbinding versleuteld is, maar je hebt geen enkele garantie met wie je praat. Als iemand je verbinding onderschept op het moment dat je verbindt met een site met een self-signed cert, en zich ertussen wurmt, dan kan die persoon alles zien en beïnvloeden wat jij over je "beveiligde" verbinding doet, net als bij plain http.

Dat is erger dan helemaal geen encryptie, want dankzij het self-signed cert waan je je veiliger, maar je bent het niet! En dat is waarom browsers daar paranoide over zijn.

Een self-signed cert is wel veilig als je het certificaat tegen een betrouwbare bron controleert (of via een veilig kanaal van de site naar jouw computer haalt), en dan in je trust store importeert. Sterker nog, als je dat certificaat dan pint voor dat domein, dan is dat zelfs veiliger dan een "echt" certificaat (omdat je dan geen andere certs voor dat domein meer accepteert). Maar dat is vrijwel nooit wat mensen doen met self-signed certs.

OddesE @deadinspace • 29 juni 2017 00:03

Dat is erger dan helemaal geen encryptie, want dankzij het self-signed cert waan je je veiliger, maar je bent het niet! En dat is waarom browsers daar paranoide over zijn.

Ja dat snap ik. Toch is dat hele 'waan je je veilig' gewoon een GUI dingetje. Toon mij gewoon een rood slotje. Intussen is de kans dat er een MitM aanval tegen de website met self-signed certificaat is opgezet een heel stuk kleiner dan dat je verkeer langskomt op routers, wifi netwerken, in log files belandt etc.

Bovendien, je zegt het zelf al, 'net als bij plain http'. Alle gevaren bij een self-signed certificate zijn er ook bij plain http. En meer. Omdat je verkeer niet een versleuteld wordt is het zelfs niet veilig tegen casual snooping en log files etc. Daarom zei ik ook 'technisch veiliger'. Want er zijn zeker risico's. Echter die zijn wel degelijk kleiner dan bij plain http, *mits je je bewust bent van de gevaren*.

Enfin. Beide standpunten valt wat voor te zeggen denk ik. Maar omdat we nu Let's Encrypt hebben is het niet meer belangrijk. Iedereen kan nu simpel gratis een goed certificaat krijgen en daar gaat het om.

ronn0 @musiman • 29 juni 2017 14:37

Omdat je met duurdere certificaten ook een hogere verzekerde waarde kán hebben, het wordt helaas niet getoond in het certificaat helaas. Maar er zit dus wel verschil in certificaat A en certificaat B, iets waar mensen op Tweakers helaas iets te makkelijk overheen stappen en zeggen dat ieder (DV) certificaat hetzelfde is

musiman

@ronn0 • 29 juni 2017 16:12

Uhm... wanneer ik bij Xolphin kijk naar de verzekerde waarde dan is het verschil tussen bijvoorbeeld een Verisign cert en eentje van een veel goedkoper cert meestal zeer gering tot exact hetzelfde... en dat voor een fractie van de prijs!
Kijk bijvoorbeeld bij deze winkel naar de prijzen van een EV certificaat, één domain, 1 jaar. Dan zie je bij Verisign (Symantec) € 575 staan, terwijl een Comodo cert maar € 95 kost. Verzekerde waarde is voor beide certs identiek, namelijk € 1750000.

Verwijderd @eborn • 28 juni 2017 14:58

En juist voor de grote jongens is een EV niet interessant. Een EV certificaat is bedoelt zodat de gebruiker kan verifiëren met welk fysiek bedrijf of persoon hij/zij te maken heeft. Dus als ik naar www.voorheenonbekendbedrijf.nl ga en die site heeft een EV certificaat ben ik als gebruiker verzekerd dat het gaat om een daadwerkelijk bestaand bedrijf en dat er een tussenstap is geweest om het bestaan en locatie van dat bedrijf te verifiëren. Dus het is voor mij een redelijke geruststelling.

Voor grote bedrijven als Bol.com of Coolblue heb ik die geruststelling niet nodig, ik twijfel er geen minuut aan dat die bedrijven niet waarmaken wat ze claimen en/of ze wel of niet bestaan. EV certificaten zijn in mijn ogen ook niks anders als een middel voor CA's om de prijs van een certificaat omhoog te krikken.

Een DV certificaat kan je tegenwoordig al kopen voor 5 euro p/j maar een EV certificaat wordt het al snel 90 euro p/j terwijl het aan de kant van de registrar niet echt veel meer inspanning nodig is.

https://www.versio.nl/sslcertificaten

Daarom zie ik een EV certificaat niks anders als een stukje "bling" op je website, het geeft je een beetje extra meer status in de ogen van de gebruiker maar meer als dat is het niet.

supersnathan94

Internet

@Verwijderd • 28 juni 2017 18:00

Nouja opzich voegt het wel extra veiligheid toe bij een bedrijf als Coolblue die 300.000 domeinen op haar naam heeft staan (je weet wel. Smartphonecenter, tabletcenter, eigenlijk alles met center). Het is voor een handige oplichter dan ook vrij eenvoudig om een xxxcenter.nl neer te zetten met een LE cert. Als CB dat ook had is het dus vrij logisch om te denken dat het klopt en ook dit bij coolblue hoort. Met het EV cert kan je echter zien dat xxxcenter niet bij CB hoort maar tabletcenter wel.

Verwijderd @supersnathan94 • 28 juni 2017 22:44

Dat is een probleem wat specifiek aan CB is en wat CB zelf heeft gecreerd, er zijn weinig bedrijven die een dergelijke methodiek aanhouden en hierdoor is het niet echt een realistische use case om rekening mee te houden.

supersnathan94

Internet

@Verwijderd • 29 juni 2017 08:38

Er zijn ontzettend veel bedrijven die met dergelijke subbedrijven werken. Toevallig pikte je daar zelf de grootste uit, maar er zijn er nog zat anderen.

OddesE @Verwijderd • 29 juni 2017 00:44

Maar sommige grote bedrijven hebben veel domeinen. Google zelf ook trouwens.

Dus stel je komt op samsung.nl terecht voor een driver. Is het echt van Samsung? Of heeft een of andere jojo samsung.nl weten te registreren en er malware drivers op gezet? Wellicht heeft het Koreaanse bedrijf dit helemaal niet in de gaten?

Verder heb je heel veel bedrijven, ook hele grote, die echt raar doen met hun URL. Heen en weer geredirect worden tussen allerlei subdomeinen etc. URLs met allerlei vreemde meuk er in in de parameters. Gewone mensen raken de weg daar snel in kwijt. Dan hanteert de bank bijvoorbeeld securelogin.rabobank.com als auth server, maar registreert een fisher rabobank.securelogin.com. Jij en ik weten dat je dus eigenlijk op het domein securelogin.com zit en dat die een subdomein 'rabobank' hebben gemaakt. Dus helemaal niet goed! Maar dit is dus te veel gevraagd van normale mensen.

Vandaar dat een EV certificaat wat mij betreft wel degelijk een grote toegevoegde waarde heeft. Juist voor de grote jongens, omdat zij een groter target zijn waarvoor phishers wel moeite gaan doen.

Cerberus_tm

@OddesE • 29 juni 2017 02:15

Nog twee voorbeelden, die m.i. nog erger zijn:

Op een gegeven moment kreeg ik mails dat mijn credit card van ABN overgegaan was naar een of andere bedrijf ICS Cards, met een totaal ander domein van ABN. Dan kon ik op een link klikken in de e-mail om mijn credit card daar te gaan beheren. Later bleek ICS wel legitiem te zijn, maar dat kon ik niet weten. Hoe mensen slecht opvoeden, als grote banken dit soort dingen doen?

Veel e-mails van Paypal bevatten links naar een domein paypal-communication.com. Daar moet ik dan op gaan klikken, zegt de e-mail, om mijn transacties te bekijken. Maar hoe weet ik waar dat domein me naar gaat redirecten? Zal het echt paypal.com zijn, of iets anders? Daar moet ik dan wel mijn wachtwoord intikken. Hoe moet een gemiddelde Nederlander dat begrijpen? Hem is verteld dat hij nooit op links in een e-mail moet klikken, zeker niet bij belangrijke dingen zoals banken en Paypal. Verder is hem verteld dat hij moet checken dat een link echt exact paypal.com is en niet iets anders. Dat kan hij nog begrijpen. Maar hoe kan hij op deze manier goed gedrag aanleren?

Gelukkig gebruik ik zelf Lastpass, zodat ik bijna nooit het domein hoef te controleren voordat mijn wachtwoord ingegeven wordt (afgezien van die kwetsbaarheid van laatst...). De allerbelangrijkste sites heb ik trouwens niet in Lastpass, zoals Paypal, Amazon, en Ebay, dus daarbij moet ik wel zelf goed het domein controleren helaas. Bij Paypal heb ik nu wel 2FA, dus misschien kan ik dat eigenlijk wel in Lastpass zetten inmiddels.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 13:28]

BeosBeing @Cerberus_tm • 3 juli 2017 14:36

Nog twee voorbeelden, die m.i. nog erger zijn:

Op een gegeven moment kreeg ik mails dat mijn credit card van ABN overgegaan was naar een of andere bedrijf ICS Cards, met een totaal ander domein van ABN. Dan kon ik op een link klikken in de e-mail om mijn credit card daar te gaan beheren. Later bleek ICS wel legitiem te zijn, maar dat kon ik niet weten. Hoe mensen slecht opvoeden, als grote banken dit soort dingen doen?

Ik kreeg dat destijds gewoon per papieren post. Ook ik vond het geen geslaagde actie trouwens.
ICS Cards doet trouwens ook Visa voor Nederland.

Verwijderd @OddesE • 29 juni 2017 01:50

Dus stel je komt op samsung.nl terecht voor een driver. Is het echt van Samsung? Of heeft een of andere jojo samsung.nl weten te registreren en er malware drivers op gezet? Wellicht heeft het Koreaanse bedrijf dit helemaal niet in de gaten?

Dit heeft helemaal niks met SSL te maken, als iemand dat domein heeft kan hij/zij hetgeen wat jij beschrijft ook doen zonder SSL.

Verder heb je heel veel bedrijven, ook hele grote, die echt raar doen met hun URL. Heen en weer geredirect worden tussen allerlei subdomeinen

In een echte secure session, kan dat dus niet. Zodra je redirect naar een andere sub begin je weer een nieuwe secure session en verlies je al je meuk. Om dat te laten werken moet je een wildcard certificaat hebben... dat houdt dus in dat je op al die subs hetzelfde krijgt te zien.

. Dan hanteert de bank bijvoorbeeld securelogin.rabobank.com als auth server, maar registreert een fisher rabobank.securelogin.com

Alle browsers hebben domain highlighting, dat is waar je op moet letten (waar banken je ook op wijzen trouwens). Voor een EV kan iemand in een ander land een bedrijf beginnen wat "Rabobank GMBH" heet of "Rabobank L.L.C." of weet ik veel "Rabobank Securelogin B.V." heet. zolang het een rechtmatig bedrijf is kan je er een EV voor krijgen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:28]

OddesE @Verwijderd • 29 juni 2017 14:44

Dit heeft helemaal niks met SSL te maken, als iemand dat domein heeft kan hij/zij hetgeen wat jij beschrijft ook doen zonder SSL.

Dit is gewoon niet waar. Dit is dus juist het verschil tussen DV en EV certificaten. Een domein registreren is een heel stuk makkelijker om anoniem te doen dan een bedrijf registreren en je hele identiteit te laten verifiëren, wat zowel het KvK en andere dergelijke organisaties als de certificate authority dan dus doen. En daarom weet je bij een EV certificate wel zeker met wie je te maken hebt, terwijl je bij een DV certificate alleen maar weet met welk domein je te maken hebt.

Blokker_1999

Internet

@Verwijderd • 28 juni 2017 18:16

Want je bent er 100% zeker van dat als jij naar mijnbank.nl surft je ook op hun servers uitkomt? Soms is verificatie van met wie je communiceerd gewoon belangrijk. En dat lukt niet met een DV certificaat.

Verwijderd @Blokker_1999 • 28 juni 2017 22:48

Iemand die het voor elkaar krijgt om een certificaat te vervalsen of te stelen kan het ook voor elkaar krijgen om een EV certificaat te vervalsen of te stelen, het is daarom de taak van mijnbank.nl om zijn certificaat te pinnen. Dat geeft de eindgebruiker veel meer zekerheid dan een vakje in de browser waar de een naam in staat. Een EV geeft niet meer of minder beveiliging, het enige wat het doet is je een verificatie dat dat domein toebehoort aan die persoon.

OddesE @Verwijderd • 29 juni 2017 21:37

Het probleem is dat met een DV certificaat alleen maar weet dat het domein wat je ziet ook het domein is waarmee je praat. Je weet dus niet van wie dat domein is.

Voor de meesten hier wellicht geen probleem, maar domeinen zijn redelijk technisch en voor velen gewoon abracadabra. Zelfs oplettende gebruikers kunnen de mist in gaan.
Wat dacht je bijvoorbeeld van rabobank.nI (let op: hoodletter i in plaats van L, dus Nicaragua!!)

Een EV certificaat tilt je zekerheid gewoon weer een stapje hoger en maakt het daarmee veel veiliger.

Plain HTTP: onveiliger kan niet, niet eens encryptie
Self-signed certificaat: Versleuteling, maar meer ook niet. Een MitM attack is kinderspel.
DV certificaat: Je weet met welk domein je praat. Behoorlijk veilig, mits je heel goed op het domein let
EV certificaat: Je weet met welk bedrijf/instelling/persoon je praat. Domein hoef je niet op te letten als de bedrijfsnaam maar klopt.

Verwijderd @eborn • 28 juni 2017 14:37

Dat is echt klinklare onzin. Ik ben van EV overgestapt naar LE voor een hugeass website met verschillende SSL domeinen en subdomeinen.

Denk je nu echt dat die verzekering echt wat uit gaat keren als jij je server niet goed gepatched hebt ? SSL is veilig voor verkeer dat niet door een MitM afgeluisterd kan worden, verder nergens voor.

eborn @Verwijderd • 28 juni 2017 14:39

Dat bedoelde ik niet, maar ik kan me voorstellen dat je het zo leest.
Met interessant bedoelde ik dat het een aantoonbaar verschil laat zien aan je eindgebruiker. Dat die vervolgens niet begrijpen wat het verschil is, is natuurlijk de realiteit. Maar eigenlijk zijn EV en niet-EV de enige twee smaken waar je als onwetende eindgebruiker echt een verschil in kunt zien.

Verder zijn al die extra verzekeringen en andere rotzooi natuurlijk klinkklare onzin. Sowieso zijn al die verzekeringen alleen van toepassing op fouten van de Certificate Authority (dus gevalletje Diginotar).

Verwijderd @eborn • 28 juni 2017 14:40

Inderdaad dus gewoon lekker LE draaien en zorgen dat ze domein niet verloopt

(en zelfs dan maakt het geen zak uit).

Ninaomi @Verwijderd • 28 juni 2017 18:02

Die vernieuwd zich zelf wel

Dylan_R @Verwijderd • 28 juni 2017 15:36

Zelfs de verloping kan je met een cronjob automatiseren waardoor je er niet eens meer naar hoeft te kijken.

Blokker_1999

Internet

@Verwijderd • 28 juni 2017 18:14

Maar als jij een EV gebruikt hebt en nu met DV werkt dan had je helemaal geen EV cert nodig en had je al veel langer een kostenbesparing kunnen realiseren. EV en DV certificaten worden voor verschillende doelen gebruikt.

Verwijderd @Blokker_1999 • 28 juni 2017 19:37

Nou nee hoor, gewoon aanpassing van project, dus vandaar dat EV niet echt meer nodig is, sterker ik kan het niet eens gebruiken!

Pikkemans @SPOXYWOXY • 28 juni 2017 14:37

EV certificaten zijn leuk en aardig maar voegen qua beveiliging geen extra's toe. Het is alleen het naampje in de adres balk wat soms nog verwarrend kan zijn ook als bijvoorbeeld de domeinnaam op naam van een moedermaatschappij staat en je dus een mismatch hebt tussen de site naam en de daadwerkelijke eigenaar van het domein. Zie ook Google die gewoon wildcard certificaten gebruikt en geen EV. Let's encrypt is gewoon een mooi initiatief om het actieveren van HTTPS voor een website laagdrempelig te houden.

stunn0r @Pikkemans • 28 juni 2017 15:24

Op een SSL certificaat kan je ook een handelsnaam opgeven. Dat ziet er dan uit als "Holding B.V. (domeinnaam.nl)". Dat is naar mijn idee al een stuk minder verwarrend.

TheBorg @stunn0r • 28 juni 2017 16:18

Symantec accepteerd(e) geen handelsnamen. Maar ik ben met de EV onzin gestopt sinds de groene balk is afgeschaft. Het verschil voor de gebruiker tussen een normaal certificaat en een EV certificaat is gewoon niet opvallend genoeg.

OddesE @TheBorg • 29 juni 2017 00:48

ik ben met de EV onzin gestopt sinds de groene balk is afgeschaft.

Afgeschaft? In welke browser dan? Als ik rabobank.nl vergelijk met tweakers.net zie ik toch een heel duidelijk verschil hoor (in Chrome).

YangWenli @OddesE • 29 juni 2017 09:28

Firefox android. Ik zie op allebei de sites een groen slot en that's it.

OddesE @YangWenli • 29 juni 2017 14:32

Ah. Ik vermoed dat ze daar nog niet aan toe gekomen zijn dan, want op de desktop laat Firefox het verschil toch ook heel duidelijk zien.

YangWenli @SPOXYWOXY • 29 juni 2017 09:26

Ideal betaling gaat toch via de bank dus mij boeit het ook niet echt.

The_Worst @Verwijderd • 28 juni 2017 14:32

Hoezo niet? Gegevens zijn versleuteld en de rootcertificaat wordt ondersteund door alle grote browsers.

Voordeel is dat het ook makkelijk automatisch vernieuwd kan worden dus geen problemen met verlopen certificaten.

borft @The_Worst • 28 juni 2017 14:34

Omdat er geen verificatie van het domein plaatsvindt, zoals bijvoorbeeld normaal bij EV certificaten. Je weet dus wel dat de verbinding versleuteld is, maar niet per se veel over de identiteit van de web site.

DenBeke @borft • 28 juni 2017 14:38

Er gebeurt wel degelijk een verificatie bij LE.
Het is niet dat het allemaal automatisch is dat er geen verificatie aan te pas komt.

Als je een certificaat aanvraagt voor een domein zal LE checken a.h.v. de DNS records of dat overeenkomt met de aanvraag die je hebt gedaan. Je doet de aanvraag vanaf het IP adres dat overeen komt met het domein waarvoor je een certificaat aanvraagt.

EDIT: oké, EV is natuurlijk nog een veiliger proces, maar dat wil niet zeggen dat er bij LE geen verificatie plaatsvindt van het domein

[Reactie gewijzigd door DenBeke op 22 juli 2024 13:28]

tom.cx @DenBeke • 28 juni 2017 15:09

Je kan ook de verificatie laten lopen d.m.v. een speciaal HTML bestand. Welke dan gecontroleerd wordt op het domein.

Ik vraag mij alleen wel af of LetsEncrypt voor grote sites ook blacklists hanteert zoals google.*, youtube.*, facebook.*,twitter.* ect...

Het nadeel van LE vind ik wel dat je het om de drie maanden moet vernieuwen. I.p.v. dat het een jaar geldig is.

Brousant @tom.cx • 28 juni 2017 15:18

Het nadeel van LE vind ik wel dat je het om de drie maanden moet vernieuwen. I.p.v. dat het een jaar geldig is.

Het is heel simpel om een scriptje dat vernieuwen automatisch te laten doen, je hoeft er zelf helemaal geen werk aan te hebben.

MadEgg @Brousant • 28 juni 2017 16:07

Hangt van je webserver af. Als je lighttpd gebruikt, bijvoorbeeld, dan wordt het lastiger. Certbot ondersteund dat niet, dus je zult lighttpd moeten afsluiten (omdat die anders poort 443 bezet houdt, en certbot ondersteund geen afwijkende poorten), certbot moeten draaien en daarna lighttpd weer op moeten starten. Nu kun je dat automatiseren, maar het betekent ook weer downtime van je website.

Certbot zou een mogelijkheid moeten hebben om op een afwijkende poort te draaien, dat zou het automatiseren een stuk makkelijker maken.

CyBeR @MadEgg • 28 juni 2017 16:45

Ten eerste is certbot niet de enige client en ten tweede dit is echt héél makkelijk om te fixen. Je kunt bijvoorbeeld /.well-known/acme-challenge in je config ergens anders uit laten komen, je kunt proxy'en, etc.

Dorank @MadEgg • 28 juni 2017 16:29

Waarom zou je de webroot methode niet kunnen gebruiken voor lighthttpd?

MadEgg @Dorank • 28 juni 2017 16:35

Omdat de webroot dynamisch geserveerd wordt door een PHP-script. Dat wordt dus hacken om te zorgen dat certbot de juiste content op de juiste manier in het systeem krijgt om het juist uitgeserveerd te laten worden.

Blokker_1999

Internet

@MadEgg • 28 juni 2017 18:20

Je kan in je lighttpd config toch netjes opgeven dat de subdir die door certbot wordt nagekeken vanuit een vaste direcrtory wordt geserveerd, en dan verwijs je de webroot gewoon naar de juiste dir. Ik doe het zo met mijn nginx waarop tientallen sites zo worden gevalideerd. Daarna geef je aan certbot nog mee dat na het bijwerken van certificaten deze de webserver even moet herstarten zodat deze niet onnodig herstart wordt.

DenBeke @MadEgg • 28 juni 2017 16:22

Je kan ook DNS gebruiken voor de challenge: https://serverfault.com/q...-dns-challenge-validation

MadEgg @DenBeke • 28 juni 2017 16:42

Wordt het daar makkelijker van? Dan moet je geautomatiseerd DNS-records toe laten voegen en weer verwijderen. Als het nou een statische challenge zou zijn... een public key bijvoorbeeld, waarvan certbot de private key heeft, zodat de challenge met de private key ondertekend kan worden en met behulp van de public key gecertificeerd.

Een andere poort kunnen gebruiken is vele malen eenvoudiger toe te passen. Ik zie echt niet in waarom dat er niet in zit. Zo heb ik ook een host die een publiek IP-adres deelt met enkele andere hosts. Die heeft een hostname die dat gedeelde IP-adres aangeeft, en de webserver draait op een afwijkende poort, welke middels port forwarding bij de juiste host aankomt.

De betreffende site is voor intern gebruik, maar om foutmeldingen te voorkomen is een valide SSL-certificaat wel zeer gewenst.

Met certbot lukt niet niet omdat deze vastgeroest zit op poort 443, en deze bij een andere host uitkomt. Daarmee is het dus iedere 3 maanden een zaak van portforwarding regels aanpassen om poort 443 tijdelijk bij een andere host uit te laten komen, certbot te draaien op poort 443, het certificaat te vernieuwen en daarna de configuratie weer terugzetten.

Een hoop gedoe wat absoluut niet nodig zou moeten zijn.

Zoop @tom.cx • 28 juni 2017 15:15

Punt is dan ook juist bij LE dat ze makkelijke tools hebben zodat ze zichzelf kunnen vernieuwen, dus heb je juist niets met vernieuwingen te maken (als je het goed doet). Dat alleen al is praktischer ten op zichte van meer traditionele certificaat aanbieders.

guysp @tom.cx • 28 juni 2017 15:16

Het nadeel wat jij noemt is eigenlijk geen nadeel. Je kunt namelijk de certificaten automatisch laten vernieuwen: eenmalig aanmaken en nooit meer aan denken. Terwijl je met een jaarlijks certificaat dit moet vernieuwen (vaak handmatig, nieuw certificaat op server zetten etc)

dimitrivisser @tom.cx • 28 juni 2017 15:16

Het nadeel van LE vind ik wel dat je het om de drie maanden moet vernieuwen. I.p.v. dat het een jaar geldig is.

Gaat allemaal vanzelf, geen omkijken naar. Vind het een stuk makkelijker dan die certificaten die elk jaar verlengd moeten worden.

OddesE @dimitrivisser • 28 juni 2017 19:34

Tenzij de server die je gebruikt niet door ze ondersteund wordt. Dat was zo toen ik het probeerde. Uiteindelijk een gratis CloudFlare certificaat gekregen. 10 jaar geldig! Enfin tegen die tijd zal de server wel ondersteund zijn hoop ik

Keebs @tom.cx • 28 juni 2017 15:18

Met bijvoorbeeld certbot kan dit allemaal geautomatiseerd en gratis

https://certbot.eff.org/

Gijs007 @borft • 28 juni 2017 14:42

Lets encrypt verifieert de controle over het domein via het ACME protocol, maar niet de organisatie achter het domein.

Daarnaast heeft lets encrypt geen verzekering, bij een commercieel DV certificaat ben je als koper of webshop tot een bepaald bedrag verzekerd tegen problemen tijdens de transactie.

Yggdrasil

@Gijs007 • 28 juni 2017 14:58

Die verzekering is een rode haring, om je het idee te geven dat je meerwaarde koopt. Lees de voorwaarden maar eens...

lonaowna @borft • 28 juni 2017 14:37

Er vindt wel verificatie van het domein plaats.. Anders zou iedereen voor elk domein een certificaat kunnen krijgen.

Er wordt inderdaad geen achterliggende bedrijfs- of persoonsinformatie gecontroleerd, zoals bij EV certificaten wel vereist is, maar dit is niet enkel het geval voor Let's Encrypt. De meeste (kleine) webshops zullen een goedkoop domein-verificatie-only certificaat hebben, of ze het nou wel of niet bij Let's Encrypt halen.

WienerBlut @borft • 28 juni 2017 14:38

Bij EV Certificaat heb je veel meer nodig! Bij een "gewoon" SSL Certificaat is een domain check een van de methodes... en ach, SSL (tegenwoordig eigenlijk alleen nog TLS 1.1+) is 1 ding, een degelijke webserver configuratie een tweede...

slijkie @borft • 28 juni 2017 15:17

Heb zelf veel certificaten, waaronder een aantal EV's. Vind de controle op die dingen maar simpel, niks bijzonders aan. Beetje zonde van het geld als je het mij vraagt.

Mount @Verwijderd • 28 juni 2017 14:34

Met Let's Encrypt weet je tenminste dat de data die je invoert veilig verstuurt wordt. Extended Validation is bij de meeste kleine webshops absoluut geen ding.

Verwijderd @Mount • 28 juni 2017 14:37

Bij grote is het ook bullshit, er is echt weinig anders aan het certificaat hoor alleen aan de manier van controle of het wel uitgegeven mag worden.

OddesE @Verwijderd • 28 juni 2017 14:57

Nou niet helemaal waar. Mijn bank heeft een EV certificaat en de browsers geven dan heel netjes aan dat het om 'Cooperatieve Rabobank U.A. [NL]' gaat. Dit staat in een groen blok naast de adresbalk en als je er op klikt krijg je de certificaat details. Als je daar als gebruiker aan gewend raakt gaat het opvallen als je per ongeluk op rarobank.nl terechtkomt bijvoorbeeld, dat die groene vermelding ontbreekt. En dat is ook precies waar het voor bedoeld is.

Belangrijk is vooral dat de browsers er iets mee doen. De groene adresbalk is echt een grote verbetering ten opzichte van vroeger. Van mij zouden ze nog een stap verder mogen gaan, door unencrypted verbindingen te voorzien van een rode adresbalk.

The Zep Man

Internet

@OddesE • 28 juni 2017 15:06

Nou niet helemaal waar. Mijn bank heeft een EV certificaat en de browsers geven dan heel netjes aan dat het om 'Cooperatieve Rabobank U.A. ~[NL]' gaat. Dit staat in een groen blok naast de adresbalk en als je er op klikt krijg je de certificaat details. Als je daar als gebruiker aan gewend raakt gaat het opvallen als je per ongeluk op rarobank.nl terechtkomt bijvoorbeeld, dat die groene vermelding ontbreekt. En dat is ook precies waar het voor bedoeld is.

Behalve dat het niet werkt, tenzij gebruikers ervoor getraind zijn. Gebruikers zijn dat niet.

Extended validation leunt op hetzelfde principe als dat HTTPS doet: dat de gebruiker oplet. Dat is het domste ontwerp dat je kan maken, aangezien gebruikers niet geïnteresseerd zijn in beveiliging. Gebruikers willen dat het werkt. Daarom dat HTTPS transparant zou moeten zijn. Hierom biedt het gratis Let's Encrypt effectief hetzelfde als de duurste EV certificaatprovider. Op technisch vlak is het enige dat telt dat het een geldig certificaat is (uitgegeven door een vertrouwde partij, niet verlopen, geldig voor het opgegeven domein). Al het andere is ruis.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:28]

OddesE @The Zep Man • 28 juni 2017 15:33

Tja, die links die 'bewijzen' dat het niet werkt...

Sorry maar ik geloof mijn eigen ogen. Mensen snappen het wel degelijk. Sites die je regelmatig bezoekt ga je herkennen. Het valt dan gewoon op als de adresbalk er ineens anders uitziet. Ik zie dit bij gebruikers in mijn omgeving gewoon gebeuren. Ik krijg ook meer vragen er over sinds de adresbalk zo visueel verandert.

Je hebt natuurlijk gelijk dat gebruikers 'getraind' moeten worden. Maar dat gebeurt vanzelf. Elke dag dat ze die groene balk zien worden ze onbewust getraind om die daar te verwachten. Dat het niet ineens goed gaat geloof ik meteen. Dat de browsers het verschil niet duidelijk genoeg maakten hielp ook niet. Het was vroeger echt bijna niet te zien. Tegenwoordig is het veel duidelijker. Alsnog kost het tijd en er zullen altijd gebruikers zijn die niet opletten.

Hierom biedt het gratis Let's Encrypt effectief hetzelfde als de duurste EV certificaatprovider.

Dit is gewoon pertinent onwaar. Het verschil tussen een DV certificaat en een EV certificaat is super duidelijk. Open gewoon rabobank.nl en vergelijk de adresbalk met die van tweakers.net. Het verschil is heel groot. Dat zien mensen echt wel.

Op technisch vlak is het enige dat telt dat het een geldig certificaat is (uitgegeven door een vertrouwde partij, niet verlopen, geldig voor het opgegeven domein)

Sorry maar je kunt gewoon rarobank.nl registreren en er een DV certificaat aan hangen. Hoe zien mensen het verschil met rabobank.nl, als ze niet opletten? De adresbalk ziet er in beide gevallen hetzelfde uit en het phishing domein heeft ook gewoon netjes een slotje.

Een EV certificaat geeft een duidelijker zichtbaar verschil. En het is veel lastiger voor een oplichter om een EV certificaat te gebruiken (wat theoretisch ook kan natuurlijk) omdat ze dan hun identiteitsgegevens prijs geven.... iets wat je als oplichter meestal niet wil.

EV certificaten helpen juist *beter* als mensen niet goed opletten. En dat is precies de toegevoegde waarde, want mensen letten inderdaad heel slecht op.

EDIT: Offtopic?

[Reactie gewijzigd door OddesE op 22 juli 2024 13:28]

Verwijderd @OddesE • 28 juni 2017 15:23

Die rode balk gaat er voorlopig nog niet komen. De standaard is nog steeds zonder SSL, dus als vrijwel iedere website roodkleurt, verliest de waarschuwing zijn waarde.

tinus73 @Mount • 28 juni 2017 14:49

Volgens mij wordt via https altijd de data versleuteld verstuurd....alleen met een certificaat weet je of je ook met het juiste doelsysteem praat

OddesE @tinus73 • 28 juni 2017 15:21

De data wordt inderdaad altijd versleuteld.

Maar 'alleen met een certificaat weet je of je ook met het juiste doelsysteem praat' is iets te simpel gesteld. Https zonder certificaat kan niet. Er zijn grofweg drie oplossingen:

Self-Signed
Je genereert en ondertekent zelf een certificaat. Kost niks en je hebt met niemand wat te maken. Je krijgt dan feitelijk alleen de versleuteling omdat niemand kan controleren dat de gegevens in het certificaat kloppen. Hoewel dit technisch veiliger is dan helemaal geen encryptie behandelen de browsers dit niet zo. Ga naar een HTTPS site met een self-signed certificaat en je krijgt de zeer intimiderende melding dat de site waar je heen geleid wordt mogelijk kwaadaardig is en of je zeker weet dat je door wilt gaan. Eigenlijk is deze methode daardoor alleen bruikbaar voor interne netwerken; systeembeheer kan dan op de computers in het eigen netwerk zichzelf als een extra Certificate Authority (CA) toevoegen waardoor de browser het certificaat wel gaat vertrouwen.

Domain Validated
Hierbij controleert een externe partij of je de controle hebt over het domein. Als je dit laat doen door een partij die door de browsers vertrouwd wordt (staat in de standaard lijst met CA's) dan krijg je het welbekende groene slotje, zoals Tweakers dat ook heeft. Echter het enige dat je als gebruiker zeker weet is dat je inderdaad met het domein 'tweakers.net' aan het praten bent. Je weet niet zeker of Tweakers inderdaad het bedrijf is dat ze zeggen te zijn. Of de identiteitsgegevens van de eigenaar van het domein kloppen dus. Voor de meeste sites is dat geen probleem. Maar het leunt er op dat je als gebruiker weet dat Tweakers het bedrijf eigenaar is van tweakers.net, het domein.

Extended Validation
Hierbij wordt er veel meer (offline) controle uitgevoerd. Er wordt bijvoorbeeld een brief gestuurd naar je adres die je terug moet sturen, of je wordt gebeld/gemaild op de contactgegevens die je hebt opgegeven. Er wordt gecontroleerd of er inderdaad een bedrijf met die naam is ingeschreven in het KvK register (en vergelijkbare registers voor andere landen) etc. etc. Lees meer hier.
Bij deze vorm weet je als bezoeker niet alleen zeker dat het domein in de adresbalk echt klopt, maar je weet ook zeker met welk bedrijf je te maken hebt. Deze certificaten zijn (flink) duurder en er komt ook veel meer rompslomp bij kijken. Maar alleen zo kunnen die stevige garanties gegeven worden en krijg je die prachtige, veiligheid uitstralende, groene adresbalk,

Er zijn/waren ook allerlei tussenvormen, maar de browsers maakten in de praktijk helemaal geen onderscheid. Dus zie je dat de keuze steeds meer wordt of een goedkoop/gratis domain validated certificaat en alleen het slotje krijgen, of all-in op EV certifcaat voor de groene adresbalk. De tussenvormen worden niet echt veel meer gebruikt volgens mij.

Ik meen me te herinneren dat er zelfs certificaten waren waarbij je als bedrijf geld in een pot moest stoppen... een soort garantiefonds waardoor je als gebruiker weet dat men flink geld verliest als ze de boel oplichten... Weet niet of dat nog bestaat.

tinus73 @OddesE • 28 juni 2017 15:49

thnx voor de input.
Naast jouw 3 bestaat er natuurlijk ook een "verkeerd certificaat", waarbij je natuurlijk een foutmelding krijgt. Maar krijg je dit zelfde ook niet als je geen certificaat installeert maar wel https hebt (of je er wat aan hebt is een tweede....)?

Dorank @OddesE • 28 juni 2017 16:35

Eigenlijk is deze methode daardoor alleen bruikbaar voor interne netwerken; systeembeheer kan dan op de computers in het eigen netwerk zichzelf als een extra Certificate Authority (CA) toevoegen waardoor de browser het certificaat wel gaat vertrouwen.

En laat de CAs nu net de zwakke plek in het vertrouwen zijn. De hoop is dat die gewoon overbodig worden en selfsigned met DNSSEC icm TLSA/DANE de toekomst wordt

OddesE @Dorank • 28 juni 2017 19:08

Tja ik weet niet hoor. Voor Domain Verified certificaten is dat een optie natuurlijk. Maar die kun je zoals gezegd gratis krijgen en bieden weinig zekerheid behalve dat de domeinnaam klopt en het verkeer versleuteld wordt.

Belangrijke zaken natuurlijk, maar de echte meerwaarde van certificaten zit hem toch in de vaststelling van de identiteit van de eigenaar van het domein. En daarvoor heb je per definitie een derde partij nodig om die identiteit te controleren.

Iva Wonderbush @Verwijderd • 28 juni 2017 14:32

Waarom niet?

jdverolme @Verwijderd • 28 juni 2017 14:39

Voor de gemiddelde gebruiker maakt dat toch niet uit? Het is versleuteld. Wat veel erger is, is het feit dat er dus nog webshops zijn zonder enige versleuteling.

wica @Verwijderd • 28 juni 2017 14:42

Let's Encrypt is niet de engiste gratis SSL cert aanbeider.

AWS geeft ook gratis SSL cert's bij o.a CloudFront.
CloudFlare geeft ze ook gratis, als je hun dienst gebruikt.

aKeY @wica • 28 juni 2017 19:59

De NL hoster Antagonist geeft ze tegenwoordig ook 'gratis' bij hun diensten

Rmg @Verwijderd • 28 juni 2017 14:42

Professioneler dan geen ssl.

Sowieso wat is het probleem met een DV certificaat?

Het hoofdoel is toch encrypten van data van en naar de site en dat doel is behaald.

Voor het gros van de kleine webshops is dit meer dan prima.

Dat je als bol.com een EV neemt snap ik maar van de ruim helft van de nederlandse webwinkels hebben een omzet van 10.000 euro of minder. De kosten van een EV wegen niet op tegen het voordeel voor de kleine webshops.

[Reactie gewijzigd door Rmg op 22 juli 2024 13:28]

_eXistenZ_ @Verwijderd • 28 juni 2017 16:48

Ja.

ultimasnake @Verwijderd • 28 juni 2017 18:18

Alles draait om je server instellingen, daarop bepaal je de mate van encryptie, de ondersteunde protocollen etc. De uitgevende instantie is op geen enkel manier 'beter' dan let's encrypt.

Laatst genoemde zorgt er echter wel voor dat echt iedereen met een druk op de knop (middels plesk, directadmin, wordpress plugins) gratis een ssl cert kan aanvragen wat voorheen toch wel wat werk was voor de leek dan wel iemand met een 'hobby-webshop'.

Grootste probleem vind ik dan weer dat men het slotje ziet als een veiligheidsgarantie dat een site met ssl wel betrouwbaar moet zijn net zoals het gewoon te copy/pasten thuiswinkel.org logotje waar men zich blind op staart

Verwijderd @Verwijderd • 28 juni 2017 18:21

Hier in elk geval geen enkel verschil in score via de link van Teek2 met zowel Let's Encrypt als Comodo certificaten.

Ik ben voor nieuwe websites op LE overgstapt, want vind LE makkelijker en het kost niets. Juist bij die van Comodo moest ik wel eens mijn leverancier inschakelen dat hij weer wat moest updaten, omdat de browser met een uitroeptekentje kwam. Dat is al meerdere keren gebeurd in de laatste jaren, bij meerdere domeinnamen. Bij LE nog geen problemen gehad, misschien omdat hij om de 2 maanden automatisch update en dan altijd goed zit, ofzo?

deadinspace @Verwijderd • 28 juni 2017 23:09

Let's Encrypt bij webshops? Is dat wel zo professioneel?

Er is niks onprofessioneels aan Let's Encrypt.

Een Domain-Validated certificaat bewijst dat de verbinding daadwerkelijk met de eigenaar van dat domein is, en niet met een aanvaller die je verbinding onderschept. Alle ondersteunde Certificate Authorities zijn hierin gelijk; er is geen onderscheid. Browsers kennen exact hetzelfde vertrouwen toe aan certificaten van Let's Encrypt als aan die van Symantec of GoDaddy. Of DigiNotar vroeger.

Als Let's Encrypt certificaten niet betrouwbaar waren dan was dat geen probleem van degenen die LE certificaten gebruiken, maar van iedereen. Het systeem is namelijk zo sterk als de zwakste CA. Daarom kon de hack bij DigiNotar (zie boven) ook gebruikt worden om versleuteld verkeer met GMail of Windows Update te onderscheppen, ook al gebruikten die diensten helemaal geen DigiNotar certificaten.

(Zoals anderen al aanhalen; voor een EV-certificaat moet je wel naar een andere CA want LE biedt die niet aan. Maar het is onzin om alle niet-EV certs onprofessioneel te noemen)

Let's Encrypt onder "niet professioneel" willen schuiven kan daarmee eigenlijk maar door één ding komen: het onderbuikgevoel van "het is gratis en kan dus niet goed zijn". Maar dat is zelf een onprofessionele houding.

Professioneel is het om het juiste middel te gebruiken voor het juiste doel, zonder onderbuikgevoelens. Prijs is zelden een goede indicatie of het middel juist is; die analyse dient te gebeuren op de concrete voor- en nadelen van het middel.

Het bedrijf waar ik werk maakt producten en maatwerksoftware die bedrijven in hun processen ondersteunen, allemaal als webapplicaties. Voor SSL maakten wij gebruik van certificaten van StartCom, maar een maand of 9 geleden kwam aan het licht dat deze CA fouten had gemaakt, en dit heeft er toe geleid dat alle grote browsers het vertrouwen in StartCom opgezegd hebben.

Toen het vertrouwen van StartCom op losse schroeven kwam te staan zijn wij gaan zoeken naar een andere oplossing voor onze certificaten. Na uitvoerig onderzoek hebben we besloten voor het gros van onze certificaten Let's Encrypt te gebruiken. In een professionele setting.

Dit waren voor ons de voornaamste redenen waarom Let's Encrypt aantrekkelijk was:

Het vernieuwen van certificaten is heel makkelijk te automatiseren. Dit zorgt voor meer betrouwbaarheid, want voorheen was certificaten vernieuwen grotendeels handwerk (geautomatiseerde oplossingen van CAs zijn over het algemeen pas aantrekkelijk vanaf hele grote hoeveelheden domeinen).
De domein-validatie gebeurt standaard zonder e-mail. Dat betekent dat als wij een webapplicatie willen hosten op het domein van een klant het genoeg is als de klant de DNS aanpast. Zolang de domeinnaam naar onze server wijst kunnen wij certifiaten genereren, zonder dat de klant verificatie-emails van de CA hoeft te forwarden. Dit zorgt ervoor dat we een applicatie sneller up and running hebben.
Omdat LE gratis is, is het makkelijker om overal een certificaat op te gooien; er is geen financiele sign-off nodig. Voorheen werden prototypes e.d. nog wel eens zonder SSL online gezet, omdat niemand wilde betalen voor een certificaat. Dankzij LE is er bij ons geen extern toegankelijk domein meer zonder SSL.
LE certificaten zijn kortlevend (3 maanden). Dit is naar ons idee beter voor de veiligheid; in het ongelukkige geval dat een certificaat (of ja, de private key) mogelijk gelekt is, is de schade kleiner. Zeker gezien het mijnenveld dat certificate revocation heet. Persoonlijk zou ik liever nog een kortere duur zien, en dan overal. Maar het is in ieder geval al beter dan de 1-3 jaar die bij klassieke CAs gebruikelijk is.

We gebruiken niet overal LE; we hebben ook een aantal domeinen waarvoor een wildcard certificaat nodig is, en dat is niet mogelijk bij LE. Hiervoor gebruiken we dus certificaten van een andere CA.

Al met al geen enkele reden dus dat Let's Encrypt niet professioneel ingezet kan worden. Voor ons bedrijf was het een goede keuze voor zo'n 90% van de gevallen.

Vhond 28 juni 2017 14:29

Nu DNSsec nog...

CorbataGames

@Vhond • 28 juni 2017 15:15

Er zijn meer websites met DNSSEC dan met een SSL-certificaat, in elk geval onder het .nl domein.

Dat komt mede doordat SIDN een incentive heeft waarbij je korting krijgt op je .nl domeinnaam als registrar, wanneer je DNSSEC (goed) geconfigureerd hebt.

Volgens dnssec.nl:
5.747.654 .nl-domeinnamen
2.711.098 DNSSEC .nl-domeinnamen

Een zeer waardevolle actie van SIDN dus!

cadsite 28 juni 2017 14:58

Volgens mij heeft die stijging van SSL hééél veel te maken met antagonist.
https://www.antagonist.nl/blog/2017/04/gratis-ssl/

mjz2cool @cadsite • 28 juni 2017 15:15

worden er dan zoveel websites daar gehost? want als daar weinig gehost wordt zal het daar dus niet mee te maken hebben

Eupeodes

@mjz2cool • 28 juni 2017 16:19

Uit de link van Antagonist:

Dankzij de combinatie van deze nieuwe technologieën kunnen wij de veiligheid en de snelheid van alle 100.000+ websites, die wij hosten, blijvend garanderen.

Welk deel hiervan een .nl domein is weet ik natuurlijk niet.

Luca @cadsite • 28 juni 2017 15:39

Zij zijn echt niet de enige hosting provider die gratis SSL aanbieden hoor.

hackerhater @Luca • 28 juni 2017 16:13

Inderdaad.
Wij bieden het ook aan via DirectAdmin en hebben gemerkt dat sommige klanten het al gebruikt hebben

We maken er alleen zelf geen gebruik van omdat in ons geval (als hosting provider) een wildcard-cert praktischer is.

Detmer

28 juni 2017 14:39

Zonder certificaat kom je lager in Google te staan en loop je dus (potentieel) omzet mis. Als Google een SSL-certificaat niet in de ranking had meegenomen betwijfel ik of de stijging zo groot zou zijn geweest als nu.

Eupeodes

@Detmer • 28 juni 2017 14:51

Toch denk ik dat ook Let's Encrypt hier een rol in heeft gespeeld, als je had moeten blijven betalen voor certificaten was de stijgen denk ik ook kleiner geweest. Al zou een webwinkel sowieso voor encryptie moeten zorgen, of het nou geld kost of niet.

Yggdrasil

@Detmer • 28 juni 2017 16:38

Die ranking-bonus is schijnbaar erg klein (niemand schijnt precies te weten hoeveel effect het heeft). Ik denk dat dat een bijzaak was voor de meeste grote implementaties.

Voor ons (internetburo) zijn twee factoren doorslaggevens geweest om al onze honderden sites te SSL-en. Allereerst de beschikbaarheid van Let's Encrypt, waardoor we het proces volledig automatisch kunnen doen én gratis). Ten tweede dat veel browsers non-https actief ontmoedigen: Inlogformulieren tonen een waarschuwing als wachtwoorden via http gaan, geolocatie werkt alleen nog maar over https, etc.

nexhil 28 juni 2017 14:44

Er zijn 1040 .nl-webshops waar klanten met Bitcoins kunnen betalen.

Toch bijzonder (veel) dit. Helemaal omdat de waarde nogal kan fluctueren! Nu gaat ie meestal nog omhoog, dus iedereen is blij.

Jeroen797 @nexhil • 28 juni 2017 14:58

Het verbaast mij juist hoe weinig dit er zijn. Mijn payment provider biedt ook de optie aan voor betaling in bitcoins tegen een mooi tarief en ik krijg gewoon euro's uitbetaal. Loop dus geen risico wanneer de koers daalt (en heb geen profijt wanneer hij stijgt).

Zie daarom geen reden om het niet aan te bieden en vindt het aantal daarom wat aan de lage kant.

nexhil @Jeroen797 • 28 juni 2017 15:36

Tja ik vind BC's nog iets wat alleen voor tweakers en criminelen is

Frag1le @nexhil • 28 juni 2017 16:45

En cash is dan voor non-tweakers, tweakers en criminelen?
Niet een heel groot verschil dus.

nexhil @Frag1le • 28 juni 2017 18:27

Ik snap niet zo goed wat je wilt zeggen?

Frag1le @nexhil • 28 juni 2017 20:59

In ieder geval niet dat bitcoin for tweakers en criminelen is. De meeste mensen die bitcoin associëren met criminelen vergeten dat cash-geld (en fiat currencies in het algemeen) nog veel meer met criminaliteit geassocieerd kan worden.

watercoolertje @nexhil • 28 juni 2017 15:57

Ik accepteer ze ook in mn webshop (met ssl). Bij mij komen ze in een wallet maar de meeste shops zullen ze wel omzetten naar euros en dan krijg je dus effectief hetzelfde bedrag op je rekening als dat er met euros betaald zou zijn.

Wat de koers is maakt niet uit die is vrijwel hetzelfde voor de betaling als voor het omzetten.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 13:28]

Yggdrasil

@nexhil • 28 juni 2017 16:40

De meeste webshops gebruiken een payment provider die de Bitcoins direct omzet naar reguliere valuta (€). De webshops hebben dus geen voordeel of nadeel van de fluctuaties.

OddesE @Yggdrasil • 28 juni 2017 19:51

Maar wel van hoge transactiekosten. Ik denk niet dat er nog veel aankopen met Bitcoin gedaan worden tegenwoordig. Offtopic, maar als ik coins had zou ik nu wel gaan cashen. Ik ben benieuwd hoe lang dit nog goed gaat wat 3000 voor een coin en er dan nauwelijks betalingen mee kunnen doen want transactiekosten van tientallen dollars.... mmmm...

P1nGu1n

28 juni 2017 14:52

Verrassend laag percentage iDeal ondersteuning, ik had verwacht dat 99% het wel zou aanbieden (van de .nl webshops)

Eupeodes

@P1nGu1n • 28 juni 2017 15:21

De kosten van implementatie van iDeal vallen behoorlijk tegen is mijn ervaring, zeker bij lage volumes. Ik heb een tijd een webwinkel gehad met enkele transacties per week, het was voordeliger de klant te vragen het geld zelf over te maken en de betalingen handmatig te verwerken dan een koppeling met iDeal op te tuigen.

watercoolertje @Eupeodes • 28 juni 2017 16:02

Alle standaard webshoppakketten kunnen werken met mollie. En als je de shop zelf hebt gemaakt kan je in een uurtje (of2) zorgen dat mollie werkt. Je betaald per transactie een fee.

Maarja als je dat uit moet besteden zal er gauw 150~300 euro gerekend worden wat best veel is voor kleine webshops.

Eupeodes

@watercoolertje • 28 juni 2017 16:13

Heb je zeker een punt. In ons geval betrof het een systeem dat ik in 2008 zelf heb geschreven. Toen heb ik ook gekeken naar koppeling met iDeal en Paypal maar vonden we het te duur (toen rekenden volgens mij zo ongeveer alle payment service providers nog enkele tientallen euro's per maand om een aansluiting te mogen hebben, met misschien 20 orders per maand kon dat niet uit).

Verwijderd @Eupeodes • 28 juni 2017 18:32

Raar, voor een standalone implementatie van iDeal via bijvoorbeeld de ING bank staat 16 uur. In mijn maatwerk webshop had ik het in een dagje klooien aan de praat, inclusief cronjob om bestellingen af te handelen die wel gedaan zijn maar indien de klant zijn/haar browser na de betaling direct gesloten had, ipv eerst nog netjes terug te keren naar de website. Het abonnement kostte wel geld, iets van 20 euro in de maand. En bij lage omzetten waren de transactiekosten hoog, iets van 70 cent per stuk. Verkoop je meer per maand, dan werd het veel minder. Ik zie nu alleen nog een bedrag van 25 cent staan op hun cent, maar wellicht kijk ik niet goed.

Maarrr, dit moet je als kleine webwinkel natuurlijk nooit doen op deze manier. Je kan dan veel beter een paymentprovider zoals Mollie nemen. Die hebben voor de meeste open source webwinkels de plugins al klaar liggen, en ook voor maatwerk shops is het makkelijk in te bouwen. Je hebt dan geen maandelijkse abonnementskosten en de kosten per transactie zijn slechts 29 cent.

hackerhater @Eupeodes • 28 juni 2017 16:12

Als je klein bent kan je beter een tussenpartij als molly het op laten lossen.

Verwijderd @P1nGu1n • 28 juni 2017 18:26

Ik denk dat het percentage nog wel hoger dan 99% is. Want in het artikel staat: "Ondersteuning hiervoor steeg met 12 procent naar 37.000 webwinkels."

Dus niet dat het totaal 12 procent is, maar dat het 12% steeg.

P1nGu1n

@Verwijderd • 28 juni 2017 19:23

Dat bedoel ik ook niet.

De stichting meldt ook dat het aantal webshops in Nederland flink is toegenomen. In totaal zouden er nu zo'n 130.000 actief zijn, waarvan er 89.000 een .nl-domein gebruiken.

Als het gaat om betaalmethodes bij Nederlandse webshops is iDeal nog altijd het populairst. Ondersteuning hiervoor steeg met 12 procent naar 37.000 webwinkels.

Van die 130.000 zullen niet allemaal zich op de Nederlandse markt richten, dus ik neem 89.000 als aantal. 37.000/89.000=42%.

Verwijderd @P1nGu1n • 28 juni 2017 20:55

Krijg nou wat, ik had even over die 37.000 heen gelezen. Wat een bizar laag aantal dan inderdaad, als dat slechts 42% van de 89.000 webwinkels totaal is.

Dan vraag ik me af wat de SIDN onder een webwinkel rekent. Het lijkt me bijna dat ze ook alle websites die slechts producten uitstallen in een digitale etalage/catalogus zonder winkelwagensysteem meerekenen. Dus die alleen een overzicht van categorieen met daarin producten hebben, maar geen winkelmandje systeem, maar hooguit een algemeen bestel/contactformuliertje.

The_Worst 28 juni 2017 14:34

Mijn (budget) hoster biedt het automatisch aan. Alle domeinnamen die zij beheren hebben allemaal een Let's Encrypt-certificaat gekregen. Ik hoefde niks te doen. Er was een opt-out mogelijkheid uiteraard.

equit1986 @The_Worst • 28 juni 2017 14:37

DirectAdmin heeft ook standaard LE opties. Super makkelijk om te gebruiken!

Shamalamadindon 28 juni 2017 15:06

Ik heb het zelf ook voor wat ik zelf draai via LE. Geen reden eigenlijk om het niet te doen.

kobus71 28 juni 2017 14:33

Beveiliging word steeds belangrijker. Je hoort steeds meer over gehackte PCs en virussen.

Byron010 @kobus71 • 28 juni 2017 14:39

Dat klopt niet helemaal. Beveiliging was al belangrijk alleen je hoort het nu (eindelijk) vaker

Eupeodes

28 juni 2017 14:50

De groei in het gebruik van ssl-certificaten voor het versleutelen van de verbinding is begonnen nadat Google in 2015 de aanwezigheid van zo'n certificaat begon mee te nemen bij het bepalen van de positie in de zoekresultaten.

Voor mij is deze actie van Google niet de aanleiding geweest om de verbinding met mijn sites te gaan versleutelen, ik ben ik begonnen met versleuteling toen Let's Encrypt goed werkte. En voor die tijd had ik voor dingen die ik alleen ik of een hele kleine groep mensen gebruikte een eigen (self-signed) root certificaat.

OddesE @Eupeodes • 28 juni 2017 19:47

Het is de wortel en de stok. Let's Encrypt is de wortel en de search ranking is de stok.

Op dit item kan niet meer gereageerd worden.

Aantal .nl-websites met ssl-certificaat stijgt flink

Lees meer

Reacties (165)

Sorteer op:

Weergave: