Xolphin verhoogt prijzen ssl-certificaten van 12 naar 20 euro per jaar

Xolphin, een Nederlandse aanbieder van ssl-certificaten, verhoogt zijn prijzen flink. Het goedkoopste abonnement kost voortaan 20 euro per jaar exclusief btw, terwijl dat eerder nog 12 euro per jaar was.

Ook de andere twee abonnementen van Xolphin zijn flink in prijs gestegen. Een certificaat met bedrijfsgegevens was in april nog vanaf 49 euro per jaar beschikbaar, blijkt uit een pagina van het Web Archive. Nu is dit certificaat vanaf 80 euro per jaar beschikbaar. De duurste optie, uitgebreide validatie en direct zichtbare bedrijfsgegevens, is verhoogd van 129 naar 150 euro per jaar.

Waarom de prijzen zo hard gestegen zijn, is niet duidelijk. Xolphin heeft geen officiële aankondiging van de prijsstijgingen op zijn website geplaatst. Tweakers heeft het bedrijf benaderd met vragen.

Door Eveline Meijer

Nieuwsredacteur

02-05-2024 • 10:06

100

Submitter: x86dev

Reacties (100)

Sorteer op:

Weergave:

Ik kreeg van Xolphin onderstaand bericht:

"Bij Sectigo Limited streven we voortdurend naar het leveren van toonaangevende producten om de veiligheid van de online wereld te waarborgen. In de afgelopen jaren hebben we grote technologische vooruitgangen geboekt, maar ook een aanzienlijke toename van cyberdreigingen gezien. Om deze rol te behouden, hebben we geïnvesteerd in het verbeteren van onze infrastructuur, technologie en de kwaliteit van onze certificaten.

Deze investeringen resulteerden in geavanceerde beveiligingstechnologieën, een verbeterde infrastructuur voor snellere en betrouwbaardere service, aanpassingen aan nieuwe industrienormen en regelgeving, en uitgebreide ondersteuningsservices voor onze partners.

Als gevolg van deze noodzakelijke verbeteringen passen we onze prijzen aan om de waarde en kosten weer te geven die gepaard gaan met het leveren van superieure producten en diensten. Vanaf 30 april 2024 zullen de prijzen van onze producten voor partners worden aangepast
."

Ik vind het echter bizar dat de prijzen dusdanig stijgen. Dat wordt niet eens benoemd in de mail.
Een gigantische grap van een email vond ik het. Bij mijn werkgever werd voorheen Xolphin gebruikt voor commerciële SSL certificaten, dat was vroeger altijd fijn qua support en direct contact. Sinds ze overgenomen zijn door Sectigo, de CA waar Xolphin al jaar en dag partner mee is, is het een regelrechte ramp geworden.

Nederlandse support is schijnbaar ontslagen, je kunt nu alleen met onverstaanbare supportmedewerkers uit India en dergelijke landen contact opnemen, die veel kennis missen en je van het kastje naar de muur sturen. Supportvragen per mail worden niet meer beantwoord. Certificaat uitgiften lopen voortdurend zonder duidelijke melding vast. De term "enshittification" past hier dan ook prima, Sectigo heeft gigantische besparingen doorgevoerd om zoveel mogelijk geld te kunnen vangen, service be damned.

We zijn er al enige tijd bij weg, gelukkig. Dat ze onder de noemer van "kwaliteits- en beveiligingsverbeteringen" een prijsverhoging er doorheen slingeren, is ronduit onbeschoft.
Welke vervanger gekozen?
Wij zitten nog bij Xolphin, altijd een goede partner geweest (ook voor digitale signage).
Toen ik zag staan dat ze onderdeel waren geworden van Sectigo had ik al zo mijn twijfels :(
Jammer, het was een toppertje.
CC: @Fraaank Dat is nu Networking4All. Die hebben nog gewoon Nederlandse, kennisvolle support. De door hen aangeboden certificaten komen bij DigiCert uit de koker.
Yes zitten ook al jaar en dag bij ze. Zijn proactief in support, dat is een verademing. Wat er niet toe doet is gewoon letsencrypt, maar iets uitgebreider: via networking4all.
Zelf naar ssls.com overgestapt en heb dat draaien op onze pbx, webservers en ngfw. Werkt met zo goed, en de grap: is ook een sectigo certificaat. Kost vlgs mij 4eur per jaar

[Reactie gewijzigd door JasperE op 22 juli 2024 14:41]

Ik pak gewoon de goedkoopste dus idd ook vaak ssls.com maar ook namecheap.com of cheapsslweb.com. En als het even kan gewoon Let's Encrypt.
Ik denk dat LetsEncrypt betaalde SSL certificaten dood heeft gemaakt! En de groene balk was hiervoor al dood doordat browsers dit verbannen hadden!
Voor een groot deel wel, maar bedrijven gebruiken vooral nog wel betaalde diensten. Ik zie vaak Globalsign en dan 500 euro per jaar voor een certificaatje.

Ook als je iets specifieks nodig hebt bijv. multi-domain of wildcard heb je niks aan let's encrypt. Plus veel bedrijven hebben toch nog graag extended validation ondanks de groene balk die weg is. Misschien ook vanwege verzekering e.d.
Wildcard certificates kunnen ook gewoon met Let's Encrypt, mits je de DNS-01 challenge kunt gebruiken. Zie ook de FAQ.

Multi-domain kan al tijden.

[Reactie gewijzigd door mvn23 op 22 juli 2024 14:41]

Dat terwijl Extended validation ook een grap is. Bij xolphin werden we gebeld door een Indiër die vraag of ik mijzelf was en dat was de extended validation... Daarnaast https://www.troyhunt.com/...s-are-really-really-dead/. Toen ik verantwoordelijk hiervoor werd zijn we over op gratis certificaten. Geen gedoe meer en geen kosten.
Lets Encrypt doet toch wel al even wildcard ook hoor :)
Mocht je bijvoorbeeld webhosting hebben dan kan zogenaamd wildcard niet met Lets Encrypt (tijdje terug onderzoek/vergelijking gedaan pas na 4 berichten krijg je het echte antwoord, zie artikel stukje naar onder in dat artikel het ssl stukje, loopt bij die partij dus lekker in de kosten (en zijn al duurste in de vergelijking).

Terwijl zoals ook hier in de reacties word aangegeven al een tijdje kan (sterker nog Tweakers heeft al een tijdje multi-domein van Lets Encrypt.

Edit typo

[Reactie gewijzigd door RobbyTown op 22 juli 2024 14:41]

Lets Encrypt kan zeker een WildCard Certificaat genereren. Alleen dat vereist wel wat meer dan reguliere Certificaten voor een setje specifieke namen.

Voor WildCards kan op dit moment alleen de DNS-01 challenge worden gebruikt, wat inhoudt dat er een specifiek DNS record wordt gegenereerd, welke in de publieke DNS moet worden opgenomen.

Dat kan op zich met de hand wel, maar dan moet je elke 60 dagen handmatig een DNS record bijwerken. Als je dat wilt automatiseren, dien je een DNS koppeling te hebben vanuit het systeem of de tooling waarmee de Lets Encrypt Certificaten worden gegenereerd/verlengd.

Dat is niet overal beschikbaar.
Xolphin was ook heel erg goed toen de vorige eigenaar er nog zat. Het is allemaal in hard tempo achteruit gegaan toen Sectigo de toko van Xolphin heeft overgenomen. Zelf ben ik naar Realtime Register gegaan. Voor mijn domeinnamen zat ik er al en recent hadden ze aangegeven dat ze Xolphin SSL Proxy gemaakt hebben via hun nieuwsbrief. Hierdoor hoefde ik alleen de endpoint aan te passen en ik kon verder. Hier hebben ze gelukkige ook betere support en prijzen dan Xolphin.
Klopt ja, wij hebben er ook een aantal standaard ssl certificaten voor websites en dat gaat allemaal prima en snel. Hebben ze ook eigenlijk allemaal afgesloten op abonnement, dus die prijsverhoging is er nog even niet.

Maar toen moest ons code signing certificaat vernieuwd worden. Naast dat het een heel ander proces is geworden sinds een tijdje, waarbij je geen echt certificaat meer krijgt maar een usb stick met daarop eea, heeft het ongeveer 4 weken geduurd vanaf het moment van aanvraag tot we het ook daadwerkelijk konden gebruiken. Diverse keren gebeld, maar inderdaad steeds 'calling to India' aan de lijn, onverstaanbaar, niets kunnen doen... heel irritant.

Gelukkig zijn code signing certificaten 3 jaar geldig.
Jullie hebben uiteindelijk een code signing certificaat kunnen krijgen? Ik niet namelijk, ze deden gewoon niks en reageerden niet op belletjes of mailtjes. Na ~twee maanden kreeg ik ineens een mailtje van sales of ze me nog ergens mee konden helpen. Toen heb ik ze vriendelijk uitgelachen en de deur gewezen.

Ik raad echt iedereen af of nog zaken met dit bedrijf te doen.

Ik heb uiteindelijk mijn certificaat direct bij GlobalSign kunnen kopen, Xolphin was vroeger hun reseller. Ik heb geen Nederlanders gesproken maar ze hebben me goed geholpen.
Ja, gelukkig wel. Is rond juli vorig jaar geweest, maar zoals beschreven ging het niet bepaald soepel.
Of we hem daar straks in 2026 weer kopen betwijfel ik ;)
Ervaring hier is precies hetzelfde. Vroeger kreeg je gewoon een Nederlandse gozer bij support aan de lijn die je vriendelijk te woord stond. Tegenwoordig heb ik amper het idee dat ik een gesprek kan voeren door het onverstaanbare Engels. Verificatie duurt ook een eeuwigheid en ligt soms weken stil, terwijl gebruiker een signing certificate nodig heeft om een PDF te ondertekenen.

Bij wie zit je nu VDV?
Sinds een paar weken / maanden hebben ze de uitgebreide validatie methode voor EV certificaten aangepast. Er zijn nu feitelijk 2 voortgang schermen, het oude waarin je ook berichten kon achter laten en de nieuwe waarbij een aparte url wordt gegenereerd. Het vervelende is dat de informatie soms verschilt. En zie dan maar wat het juiste is.

Bellen met Xolphin doe ik niet meer. Achter elke optie (ook de administratie) zit buitenlandse support. Ik had gelukkig uit het verleden nog een aantal e-mail adressen van Nederlandse werknemers die ook nog reageren. Wij zijn voor EV certificaten inmiddels uitgeweken naar een alternatief. Bij enkel domein certificaten was er nog geen probleem. Maar gezien de prijsverhoging gaan we daar dan waarschijnlijk ook mee over naar het alternatief.
Ik heb 2 mails ontvangen met de aankondiging.

Mail van 27 maart:
Service Melding – Retail Prijsverhoging

Beste klant,

Bij Xolphin is onze topprioriteit ervoor te zorgen dat uw online wereld veilig is. Daarom streven we er voortdurend naar om toonaangevende producten te leveren.

In de afgelopen jaren hebben we aanzienlijke technologische vooruitgang gezien en een dramatische toename van cyberdreigingen. Om voorop te blijven lopen bij deze ontwikkelingen, hebben we voortdurend geïnvesteerd in het verbeteren van onze infrastructuur, technologie en de kwaliteit van onze certificaten. Deze verbeteringen omvatten:
  • Geavanceerde beveiliging: Implementatie van toonaangevende beveiligingstechnologieën om robuustere bescherming te bieden tegen evoluerende bedreigingen.
  • Verbeterde infrastructuur: Upgraden van onze infrastructuur om snellere en betrouwbaardere service te garanderen.
  • Voldoen aan nieuwe normen: Aanpassen aan nieuwe branchenormen en regelgeving om ervoor te zorgen dat uw software compliant en veilig blijft.
  • Verbeterde ondersteuningsdiensten: Uitbreiding van ons ondersteuningsteam om meer persoonlijke en efficiënte klantenservice te bieden.
Vanwege deze noodzakelijke verbeteringen passen we onze prijzen aan om de waarde en kosten te weerspiegelen die gepaard gaan met het leveren van een superieur product en service. Binnenkort zullen de retail prijzen van onze producten stijgen.

Als een van onze meest gewaardeerde klanten, willen we u een exclusieve kans bieden om uw huidige certificaat te vernieuwen tegen onze huidige prijs voordat de prijzen stijgen.

KOOP NU

Maakt u zich geen zorgen, uw Xolphin-producten zijn nog steeds geldig tot hun vervaldatum. Dit is gewoon een kans om nu een nieuw certificaat aan te schaffen voordat onze retail prijzen veranderen.
Mail 23 april:
Servicemelding retail prijzen met ingang van 1 Mei 2024

Beste klant,

In onze vorige email hebben we de verbeteringen belicht die we hebben aangebracht in onze infrastructuur, technologie en ondersteunende diensten om de beste beveiligingsoplossingen te kunnen blijven bieden in een steeds veranderend digitaal landschap.

Als gevolg van deze vooruitgang willen we u eraan herinneren dat er vanaf 1 mei een prijsverhoging zal plaatsvinden voor onze SSL/TLS-certificaten. Deze aanpassing is nodig om de kwaliteit van onze producten en diensten te handhaven en de stijgende kosten te compenseren die gepaard gaan met het handhaven van de hoogste normen op het gebied van beveiliging en compliance.

(screenshot van tabel)

Gezien uw loyaliteit en vertrouwen in Xolphin, bieden we u de exclusieve mogelijkheid om uw huidige certificaat te verlengen tegen onze huidige prijs, zodat u zeker weet dat u bespaart voordat de prijsstijging op 1 mei ingaat.

VERLENG UW CERTIFICATEN NU

Vergeet niet dat uw huidige certificaat nog geldig is tot de vervaldatum. Als u nu van deze mogelijkheid gebruik maakt, profiteert u van onze huidige prijzen en hoeft u na de prijsverhoging niet méér te betalen.

Wij begrijpen hoe belangrijk het is om een ononderbroken beveiliging voor uw online activiteiten te handhaven, en daarom dringen wij er bij u op aan om vóór 1 mei te handelen om uw besparingen vast te zetten.

Mocht u onmiddellijk hulp nodig hebben of vragen hebben over de komende prijsaanpassing, aarzel dan niet om contact met ons op te nemen op

[Reactie gewijzigd door vosManz op 22 juli 2024 14:41]

Gezien uw loyaliteit en vertrouwen in Xolphin, bieden we u de exclusieve mogelijkheid om uw huidige certificaat te verlengen tegen onze huidige prijs, zodat u zeker weet dat u bespaart voordat de prijsstijging op 1 mei ingaat.
Dit was zo misplaatste grap in hun mailing, want dat kon altijd al in de laatste 30 dagen van de geldigheid van het certificaat.
Het was niet mogelijk om certificaten die over 2 maanden gaan verlopen ook te verlengen.
Dus ik snap niet wat er zo 'exclusief' aan was.

Heb gebeld, maar India was niet bereidwillig om terug te bellen op de voicemail die ik had achtergelagen.
Ze blijven ook vrij vaag over welke verbeteringen er dan zijn aangebracht. Geen cijfertjes te zien om de statement kracht bij te zetten.

Het is dus waarschijnlijk zoals hierboven eerder genoemd, een 'price hike' om de kosten bij te benen.
Kosten bij te benen? Zal toch echt eerder de zakken dikker te vullen zijn. De zogenaamde graaiflatie met als toetje wat extra procenten er boven op.
Simpele marktwerking. minder klanten, minder verkopen, meer wet- en regelgeving. Dat leidt automatisch tot hogere prijzen.
Ik zie hier veel mensen roepen over Let's Encrypt, wat overigens een hele mooie ontwikkeling is, maar het is wel appels en peren. Een betaalde CA levert in de regel ook een verzekerd bedrag, afhankelijk van de 'zwaarte' van het certificaat. Dan heb je het over een uitgekeerd bedrag als bv de private key gecompromitteerd wordt, of er andere duistere zaken gebeuren die herleidbaar zijn naar misbruik van het certificaat. Dat heb je met een gratis certificaat natuurlijk niet.
Dat gezegd hebbende is deze prijsstijging wel enorm.
Dan heb je het over een uitgekeerd bedrag als bv de private key gecompromitteerd wordt
Maar die private key moeten ze dan eerst bij jou stelen. Gaat een CA echt uitbetalen als bij jou wordt ingebroken en een private key wordt gestolen?

Edit: ah gaat natuurlijk over als de private key van de intermediate/root CA gestolen is.

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 14:41]

Nee de verzekering is als de key gestolen is bij de CA.
Of als de CA een certificaat uitgeeft op jouw naam zonder jouw goedkeuring oid.

Alleen is er ooit zo'n schade vergoeding uitgekeerd ?

Ik kan mij alleen DigiNotar herinneren, maar of die ook verzekeringen aanbood ?
Was meer voor de overheid wat ik mij ervan herinner.
Verwijderd @DDX2 mei 2024 10:41
Ik werk al zeker 20 jaar in de webhosting/domain/SSL wereld en heb nog nooit gezien dat een verzekering werd uitgekeerd voor SSL. Dat is dan ook meer een wassen neus naar mijn mening.

Sure, banken etc en andere instellingen zal ik niet LetsEncrypt aanraden ( die mogen niet eens zulke simpele certificaten gebruiken voor hen doeleinden), maar voor de huis tuin en keuken website is dat echt prima. Zakelijk zal ik het niet snel gebruiken op mijn productie sites.

Zo heeft LetsEncrypt een prima rolverdeling.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:41]

Wat is het verschil tussen een certificaat voor een bank en een willekeurig ander (niet self-signed) certificaat?
Banken en andere belangrijke instellingen zoals de overheid (en iedereen die bereid is er voor te betalen) maken gebruik van zogenaamde EV-certificaten, waarbij EV staat voor Extended Validation. Dat betekent dat er moeite is gestoken om te controleren of de aanvrager van het certificaat ook daadwerkelijk is wie hij zegt te zijn. Wat die controle precies inhoud zal per verstrekkende partij verschillen en ik hoor ook steeds vaker geluiden dat het soms een wassen neus is, zoals @mobrockers beweert. Een EV-certificaat is over het algemeen niet goedkoop, dat kan enkele tientallen maar soms ook honderden euro's per jaar zijn. Voor een bedrijf peanuts, maar voor een individu significant.

Het effect voor de eindgebruiker is dat deze nog steeds een groen balkje voor de url in de browser ziet staan met daarin de bedrijfsnaam, die dus overeen hoort te komen met de eigenaar van de website. Bij standaard certificaten die je dat niet meer, hooguit nog een onopvallend wit slot symbool.
Correctie: het bovenstaande klopt niet meer. Zelfs bij het gebruik van een EV-certificaat zie je gewoon een wit slotje. Wel wordt de bedrijfsnaam getoond als je daarop klikt, wat bij niet-EV-certificaten niet het geval is.

Qua encryptie en overige technische details is er verder geen verschil met een 'regulier' certificaat.

[Reactie gewijzigd door rbr320 op 22 juli 2024 14:41]

Behalve dat het groene slotje en de bedrijfsnaam helemaal niet meer getoont worden door browsers. Ga maar eens naar ING, de rabo of voor de grap de belastingdienst en ga eens op zoek naar dat groene slotje. ING en rabo beiden EV, geen groen slotje en geen groene balk (mist je een eindgebruiker browser gebruikt zoals chrome of edge) en de belastingdienst gebruikt niet eens EV certificaten!

Oftewel, heb je niks aan tegenwoordig, de overheid doet het niet eens meer.
Je hebt gelijk inderdaad, zelfs die indicatie van een EV-certificaat is verdwenen. Het enige verschil dat ik (in Firefox) nog zie is dat als ik op het slotje klik, ik bij de Rabobank of ING zie staan "Certificate issued to" en dan de naam van het bedrijf. Bij reguliere certificaten wordt er geen extra informatie getoond.
Het gaat hoogst waarschijnlijk niet om het certificaat maar om de boel er omheen. Uit de losse pols:
- account management bij de leverancier.
- kwaliteitseisen (ISO9xxx).
- achterliggende backoffice support tools en processen.
- aanbestedingseisen
De wassen neus dat je ervoor hebt betaald :+
Ik weet van een Bank die altijd bij 2 verschillende ssl leveranciers een certificaat had zodat bij problemen ze snel konden switchen.
Toen die 2e partij werd overgenomen door de 1e tja...
Verwijderd @DDX2 mei 2024 11:00
Ik heb weinig ervaring met banken aangezien dat echt een andere tak van sport is, die moeten aan heel veel eisen voldoen, ook qua SSL.
Maar een 2e certificaat klaar hebben liggen 'just in case' lijkt mij een prima voorzorgsmaatregel.
Vraag me af hoeveel er daadwerkelijk uitgekeerd is met zo'n 'verzekering'.
Nog nooit iets, het is echt pure onzin
Daar gaat het toch niet om? Elke verzekering is erop uit zoveel mogelijk onder vergoedigingen uit te komen. Dat is in mijn optiek inmiddels meer het business model dan het verzekeren zelf. Maar dat neemt niet weg dat in sommige gevallen het wel nice-to-have kan zijn om een verzekering te hebben.
Ja maar een brandverzekering wordt regelmatig uitgekeerd.
Zo'n ssl verzekering is nog nooit uitgekeerd/aan niemand en is echt een wassen neus.
Klopt, maar geloof me, als je een keer brand hebt gehad weet je hoe het er (meestal) aan toegaat; ze grijpen alles aan om minder uit te hoeven keren. Maar inderdaad, ik denk dat een SSL verzekering weinig toevoegt, maar voor sommige diensten kan ik me voorstellen dat je toch een bepaalde zekerheid wil. Niet voor de website van bingo-club 'de kunstgebitten'.
Daar gaat het wel degelijk ook om.

Het verdienmodel van de verzekeraar is namelijk in de basis niet anders dan dat van een bedrijf dat keuze heeft tussen verschillende aanbieders van certificaten. Op het moment dat de kans op uitbetaling nagenoeg 0 heeft het geld uitgeven niet zomaar meer waarde dan dat je geen verzekeringskosten hebt. Waar nog bij komt dat betalen voor de verzekering niet aantoonbaar genoeg nodige garanties geeft. Het bedrijf stelt zelfs nu wel een geavanceerd beveiligingstechnologie te hebben. Terwijl de beveiliging niet zomaar beter is of was dan de concurrentie waar men geen verzekeringspremie hoeft te betalen.
Het is een compliancy/audit vereiste vaak.
Nou zit ik niet heel erg in de security-afdeling (ik vervang af en toe een certje), maar komt zoiets uberhaupt voor? Het klinkt voor mij als een papieren garantie, als de wiskunsten achter SSL stukgaan hebben we andere problemen, en die private key... is nog altijd verantwoordelijkheid van het bedrijf.
Een digitale certificaat is alleen handig voor code signing (Windows en/of Mac) en voor Drivers te signen en extended validation certa. Voor de rest is Let's Encrypt wel voldoende en ben je anders een dief van je eigen portemonnee. Bijna geen enkel consument kijkt naar het certificaat en die verzekeringen zullen ook een wassen neus zijn en misschien wel in hele specifieke gevallen toepasbaar, want als jij je eigen beveiliging niet op orde heb dan hebben ze al een grond om het af te wijzen.
Certificaten worden niet alleen tussen bedrijven en consumenten gebruikt, maar ook voor koppelingen tussen bedrijven en die accepteren vaak alleen ev's en dan ook nog eens bepaalde root ca's en zelfs bepaalde signing algoritme's op de gehele chain en dan kom je er met letsencrypt niet en heb je dus een partij als digicert nodig.
Oké, dat wist ik niet. Maar in zulke gevallen lijkt mij het dus nodig, maar voor alle andere doeleinden is het dus niet echt nodig.
Maar voor mijn gevoel zijn die verzekeringen vooral een lokkertje. Ik heb de dekking niet gelezen, maar verwacht dat die alleen in heel specifieke gevallen uitkeert. Waarschijnlijk kun je je daar ook op andere manieren voor verzekeren als ondernemer.

Natuurlijk is Let's Encrypt niet voor alle doeleinden en devices geschikt, maar voor onze toepassing is het een uitkomst. We hebben zo'n 500 certificaten volautomatisch lopen via LE, waar ik vroeger meerdere uren per maand kwijt was aan het vernieuwen, zelfs als we dit maar eens per jaar deden. Via LE worden nu elke twee maanden alle certificaten vernieuwd, incl. nieuwe private keys, wat het risico ook enorm beperkt.
Dan heb je het over een uitgekeerd bedrag als bv de private key gecompromitteerd wordt, of er andere duistere zaken gebeuren die herleidbaar zijn naar misbruik van het certificaat. Dat heb je met een gratis certificaat natuurlijk niet.
Blijkbaar hoef je daar ook lang niet altijd vanuit te gaan als je een betaalde certificaat hebt.
Waarom zou je tegenwoordig nog betalen voor een regulier SSL certificaat? Via Let's Encrypt of een cloud provider krijg je die tegenwoordig gratis en worden ze volautomatisch vernieuwd. Geen rompslomp met abonnementen, facturen en CSR's.
Wij werken veel met telefooncentrales, SBCs, etc, die geen ondersteuning hebben voor het automatisch vernieuwen van een certificaat. Jaarlijks handmatig het certificaat vernieuwen van al die apparaten is al gedoe, laat staan iedere 3 maanden...
Daar zijn natuurlijk prima scripts voor te schrijven die dit voor jou kunnen afhandelen. Dat is eenmalig maken en daarna heb je er geen omkijken meer na.
Duurder in bestede tijd om dat script te schrijven dan een ssls.com certificaat. Daar ben je voor 4 euro per jaar al klaar met een net zo prima certificaat. Xolphin is gewoon veel te duur voor iets wat automatisch een stukje tekst betekent.

Ssls geeft je overigens ook een sectigo cert.

[Reactie gewijzigd door JasperE op 22 juli 2024 14:41]

Duurder in bestede tijd om dat script te schrijven dan een ssls.com certificaat.
Dat hangt weer af van de organisatie. Bij een wat groter bedrijf:
  1. Een Purchase Order indienen
  2. Iemand moet de PO goedkeuren
  3. CSR genereren
  4. Certificaat installeren
  5. Finance afdeling moet het factuur betalen
De tijd die dit proces kost is ook niet gratis, kost meer dan de twee tientjes die je voor het certificaat betaalt. En jaarlijks terugkerend.

Ook een reacite op @DDX

[Reactie gewijzigd door P1nGu1n op 22 juli 2024 14:41]

Direct ook reactie op @DDX

Het overal handmatig vernieuwen van die certificaten kost ook tijd. @michaelkamen geeft aan "al die apparaten" dus dan zijn er vast niet 1 of 2. Stel je bent daar 15 minuten mee bezig en het zijn 10 apparaten dan praten we al over een paar uur tijd die je in totaal bezig bent. In die tijd kan je echt wel een mooi script maken. En daarna bespaard het je dus jaarlijks die tijd die je er normaal moet insteken.

Het is dus misschien eenmalig even wat tijd in steken wat misschien meer tijd is dan normaal handmatig maar daarna heb je er geen omkijken meer na.
Wij zijn enorm van het automatiseren, dus als het kon hadden we het allang gedaan. Maar niet iedere PBX of SBC heeft simpelweg de mogelijkheid om geautomatiseerd het certificaat te vervangen.
Hangt van de aantal af, als je om de 3 of 5 jaar 500 cerificaten handmatig moet doen dan is een script scrhijven goedkoper.
Alles valt vast te scripten, maar hoeveel tijd kost dat ?
En helemaal als je daar mensen voor moet inhuren.

Dan is een commercieel certificaat die 13 maanden geldig is toch wat makkelijker/goedkoper.
Klein detail dat waarschijnlijk volgend jaar ook die maar max 90 dagen geldig worden.
Is toch echt van den zotte dat ze maar 90 dagen geldig zouden gaan worden, dan moet je sowieso al wel gaan automatiseren, maar de kosten vind ik een groter probleem.
Nu heb je iemand nodig om een PO te maken, en later te verwerken, voor ieder nieuw certificate moet een CSR gemaakt worden en moet het certificaat weer geïmporteerd worden. Is een wijziging, dus een change met een (klein herbruikbaar) implementatieplan en een approval.
Hoeveel devices heb je precies, waarbij je dit iedere keer herhalen?

Volgens kost iedere factuur hier al 75 euro aan verwerkingskosten, nog exclusief andere overhead.
Jaarlijks handmatig het certificaat vernieuwen van al die apparaten is al gedoe, laat staan iedere 3 maanden...
Mogelijk gaat dit alsnog het geval worden voor commerciële certificaten, bij Google willen ze de 90-dagen looptijd, zoals bij Let's Encrypt, als maximum gaan hanteren binnen Chromium (en dus Chrome en alle andere forks). Er is nog niets concreets geroepen, maar als Google dit gaat hanteren, kunnen ze dat middels het marktaandeel van Chrome en Chromium-gebaseerde browsers gewoon afdwingen bij de CA's.

[Reactie gewijzigd door VDV op 22 juli 2024 14:41]

Gaat gewoon gebeuren, waarschijnlijk eind volgend jaar.
Is ze eerder ook al gelukt met 3 jaar -> 1 jaar
If it hurts, do it often.

Dit soort dingen is alsnog prima te automatiseren, misschien niet vanuit je telefooncentrale, maar dan wel door een (ansible)scriptje dat die telefooncentrale update.
Als je onder Linux draait bijvoorbeeld iets in de trant van;

acme.sh --issue -d example.com -w /var/www/html --reloadcmd "systemctl reload sbsc" ??
Sommige devices kan je niet even simpel een winacme client op installeren (denk aan routers bijvoorbeeld) en dan is een commercieel certificaat die je gewoon 1 keer per jaar vervangt makkelijker.
Ergens volgend jaar zal je wel op de een of andere manier wat moeten automatiseren want Google gaat pushen op ssl lifecycle van max 90 dagen. (nu 397 dagen)

Daarnaast zit er natuurlijk ook risico aan winacme/let's encrypt. Wat nou als de tool op de een of andere manier niet werkt.
Goed je kan alerting instellen maar kijkt iedereen daar naar ? 1 keer per jaar in agenda zetten om te vervangen is voor veel mensen makkelijker.

En ook niet onbelangrijk; let's encrypt bied geen support.
Als er dus iets fout gaat dan tja mag je een forum post ofzo gaan doen en hopen dat iemand een oplossing heeft.
Wat nou als jouw ip op de een of andere manier op een blacklist komt omdat je win-acme te vaak probeert bijvoorbeeld ?
Je kan niemand bellen, geen sla.

En de wassen neus; de verzekering bij commerciele ssl certificaten.
Al vraag ik mij af of die ooit uitgekeerd zijn ?

[Reactie gewijzigd door DDX op 22 juli 2024 14:41]

Let's Encypt is gelukkig heel open over hun rate limits en die worden in mijn ervaring strikt maar rechtmatig toegepast. Blacklists o.i.d. doen ze niet aan. Dus als je client ge-rate-limit wordt dan weet je door de foutmelding precies wat je verkeerd gedaan hebt, en hoe lang het duurt om er vanaf te komen.

En omdat je regelmatig moet vernieuwen wordt je geautomatiseerde proces continu getest. LE certificaten zijn 3 maanden geldig, maar LE raadt aan om na 2 maanden te vernieuwen. Als er iets mis gaat heb je dus nog een maand om het op te lossen voordat je oude cert niet meer werkt. Bij Xolphin (Sectigo) met twee dozijn certs had ik regelmatig support nodig, bij LE met vele honderden certificaten gewoon niet.
Voor een doorsnee website is het overkill. Maar voor bedrijfskritische processen is het wel handig toch? En voor bedrijven waarvoor het vanuit security oogpunt beter is wellicht? Zo verwacht ik bij een kpn.com of bol.com wel een uitstekend certificaat, maar voor tweakers.net maakt het bv minder uit.

[Reactie gewijzigd door Martinspire op 22 juli 2024 14:41]

Het certificaat en dus resultaat is exact hetzelfde of je ervoor betaald hebt of niet. Oh en bol gebruikt let's encrypt.. Dus.. ;)

[Reactie gewijzigd door mobrockers op 22 juli 2024 14:41]

Dit is toch volstrekt buiten de werkelijkheid anno 2024? Naast gratis Let's Encrypt certificaten kun je bij bijvoorbeeld Cloudflare voor een tientje de advanced certification manager gebruiken waarmee je onbeperkt certificaten kunt aanmaken, inclusief subdomeinen, multi SAN etc. Grote bedrijven gebruiken ook steeds minder OV en EV certificaten, omdat deze toch niet meer prominent in de browser in beeld gebracht worden. De officiële e-IDAS overheidscertificaten mogen ze niet issuen, daar zit het 'm ook niet in. Dus waarom Xolphin dit een goede stap vindt is mij een raadsel?
Waarom is het volstrekt buiten werkelijkheid als je vervolgend benoemd dat LE gratis is?
Minder afname leidt automatisch tot hogere prijzen. Dat noemen ze marktwerking. Je kan niet verwachten van een commercieel bedrijf dat ze hun diensten gratis gaan aanbieden.

En dan noem je de cloudverslaving. bedrijven die een tonnetje of twee tegen een product smijten waarin gebruikers (semi-)automatisch hun certificaten kunnen beheren tegen een laag bedrag. Zeg maar LE met een extra sausje. Dat soort bedrijven functioneren op andere financiele principes, winst is niet perse het primaire doel voor US based tech bedrijven. Daar gaat ook weer een deel van je klanten.
Dat is precies mijn punt. De werkelijkheid is dat goede, veilige en betrouwbare certificaten nagenoeg niks meer kosten vandaag de dag. Dat doet niks af aan het feit dat grote cloud partijen dit subsidiëren. Als je je prijzen als Xolphin fors gaat verhogen, dan betwijfel ik of dit onder de streep meer omzet oplevert. Ik denk namelijk dat de kans groter is dat je een groot deel van je klanten wegjaagt. Xolphin hoeft hun certificaten uiteraard niet gratis weg te geven, maar soms moet je tot de pijnlijke conclusie komen dat je eigen business model achterhaald is en dan houdt het een heel eind op.
Alleen in het laatste geval kan Xolphin de vermoorde onschuld spelen, als ze te snel opgeven niet.
"kijk maar, we hebben het heel lang volgehouden, maar we kunnen echt niet anders"
En hogere prijzen leiden tot minder afname... Ze hoeven niet gratis te worden, maar moeten wel concurrerend blijven.
Goeie info, dank. Kun je met met de advanced certificate manager van CF ook certificaten aanmaken die niet op de CF infra geinstalleerd worden? Wij doen wel de DNS via CF, maar de proxyen de hostnames niet via CF...
Nee, dat kan zover ik weet niet. Het hele idee is natuurlijk dat het via Cloudflare fully managed is. Om de veiligheid te vergroten zijn ook deze certificaten kort houdbaar en worden ze regelmatig automatisch ververst. Ik zie dat ze nu ook een nieuwe feature hebben, "Total TLS". Dan genereert Cloudflare automatisch voor elk geproxy'ed domein een eigen certificaat.
Je bedoelt $10.00/mo per zone dat komt iets anders over dan voor een tientje waarbij mensen vaak uitgaan dat het een eenmalige uitgave is ;-)
Reguliere TLS certificaten zonder speciale subdomeinen en SAN vereisten waren al gratis en onbeperkt, daar heb je de advanced certificate manager niet bij nodig. Maar het klopt dat de prijs per maand is ja!
Waarom de prijzen zo hard gestegen zijn, is niet duidelijk.
Heb zo wel een idee, LetsEncrypt.

Denk dat steeds meer bedrijven overstappen op deze gratis certificaten omdat dit meer dan genoeg is. Xolphin zal dus ergens hun "winst" vandaan moeten halen en dan krijg je dus deze prijsverhogingen.
Snap sowieso niet waarom je nog zou betalen voor een standaard SSL certificaat zonder Extended Validation. LetsEncrypt heeft dat probleem al lang opgelost. Ik heb dat al sinds 2015 op mijn domeinen zitten.
Xolhpin is niet meer "Xolphin" van voorheen. Ze zijn samen gegaan (overgenomen?) door Sectigo en sindsdien is het een ramp met support. Krijg constant de 'ge-outsourcde' helpdesk aan de lijn met super vage Indiers. En de doorlooptijd voor een support vraag wordt alleen maar langer.

Waar mogelijk daar gebruiken we direct Lets Encrypt. Zelfs als dat niet gratis was zou ik dat overwegen ipv Xolphin. Voor de volgende SSL die we nodig hebben stap ik over.....
Een certificaat met bedrijfsgegevens was in april nog vanaf 49 euro per jaar beschikbaar, blijkt uit een pagina van het Web Archive. Nu is dit certificaat vanaf 80 euro per maand beschikbaar.
Dus ze gaan van 49 euro per jaar naar 80 euro per maand? Klopt dat wel? Dat is 960,- per jaar..
Misschien komt er nu elke maand iemand naar dat kantoor om die gegevens up to date te houden? :+

Maar zonder dolle dat moet fout zijn of iemand moet zijn hoofd gestoten hebben voordat ie op dat idee is gekomen :P
Wow, en de reseller tarieven zijn nog veel meer gestegen! Volgens mij van €7 naar €20 per jaar. Lekker dan.
Klopt, ik zat daar vroeger. Later naar Oxxa overgestapt, daar kost hetzelfde SSL certificaat nog altijd 4,95.
Oorzaak is stijging van prijzen bij leverancier, bij openprovider zijn prijzen ook gestegen.
Sectigo heeft prijzen verhoogd onder de noemer: nieuwe features/beter support etc.
Er is in het geval van Xolphin geen sprake van een leverancier. Ze zijn overgenomen door Sectigo en zijn dus 1 en hetzelfde bedrijf.
Oh ok, naja dan heb je de reden ;)
Voorheen had je nog wat concurrentie op ssl markt...
Verwijderd @DDX2 mei 2024 10:48
Er is echter genoeg concurrentie op de SSL markt ;)


IdenTrust 3
DigiCert Group
Sectigo (Comodo Cybersecurity)
GlobalSign
Let's Encrypt
GoDaddy Group

Op dit item kan niet meer gereageerd worden.