Nog veel webwinkels ontberen ssl-certificaat

Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt, blijkt dat het aantal iDeal-webshops met een beveiligde verbinding met drie procentpunt is gestegen. 88 procent van de shops heeft echter nog altijd geen ssl-certificaat.

E-commerce winkelwagentje (kleiner)Beveiligingsbedrijf Networking4all deed voor de derde keer onderzoek naar de beveiliging van webwinkels die de betaalmethode iDeal aanbieden. Van de 13.600 onderzochte webshops gebruikte 12 procent een ssl-certificaat. Daarmee is het percentage aan beveiligde webwinkels gestegen; in 2008 was 9 procent van de webwinkels 'veilig', in 2007 was dat nog 6,9 procent.

Ondanks de stijging is het bedrijf, dat zelf ssl-certificaten aanbiedt, verontrust over de resultaten. Want hoewel het aantal veilige webshops relatief is toegenomen, zijn er in absolute aantallen meer 'onveilige' dan veilige webshops bijgekomen; ten opzichte van 2008 zijn er 3400 shops zonder certificaat bijgekomen, tegen 780 webwinkels mét. Dit terwijl een ssl-certificaat verplicht is om te voldoen aan de Wet Bescherming Persoonsgegevens, zegt Paul van Brouwershaven, technisch directeur van Networking4all.

Overigens is de betaling via iDeal in alle gevallen wel gewoon versleuteld en veilig, benadrukt Van Brouwershaven. Er zou voor webshops met iDeal zijn gekozen omdat er een lijst beschikbaar is met shops die de methode aanbieden; volgens Van Brouwershaven is het onmogelijk om op een andere manier aan een afgebakende lijst met webshops te komen.

Hoewel de betaling zelf dus veilig is - mits iDeal of een andere betalingsprovider met een versleutelde verbinding wordt gebruikt - brengt het ontbreken van een certificaat risico's met zich mee, zegt Van Brouwershaven. "Criminelen zouden profielen van je kunnen aanleggen, met behulp van je adresgegevens, maar ook met de aankopen die je doet", zegt hij. Hij vindt dan ook dat iDeal webshops die niet over ssl-certificaten beschikken, moet weigeren. Currence, het bedrijf achter iDeal, liet desgevraagd echter weten dat het zich niet met de beveiliging van aan iDeal deelnemende webshops wil bemoeien.

Door Joost Schellevis

Redacteur

Feedback • 18-11-2009 14:30 91

18-11-2009 • 14:30

91

Lees meer

Aantal .nl-websites met ssl-certificaat stijgt flink
Aantal .nl-websites met ssl-certificaat stijgt flink Nieuws van 28 juni 2017
IETF maakt van HTTP Strict Transport Security-protocol een webstandaard
IETF maakt van HTTP Strict Transport Security-protocol een webstandaard Nieuws van 25 november 2012
Currence meldt recordaantal iDeal-transacties
Currence meldt recordaantal iDeal-transacties Nieuws van 15 november 2012
Acceptgiro nog altijd vaker gebruikt dan iDeal
Acceptgiro nog altijd vaker gebruikt dan iDeal Nieuws van 21 juli 2011
Duizenden gevaarlijke ssl-certificaten in omloop
Duizenden gevaarlijke ssl-certificaten in omloop Nieuws van 7 april 2011
Gebruik iDeal en PayPal flink gestegen in Nederland
Gebruik iDeal en PayPal flink gestegen in Nederland Nieuws van 9 januari 2011
Currence maakt pinnen via normale internetverbinding mogelijk
Currence maakt pinnen via normale internetverbinding mogelijk Nieuws van 8 november 2010
Aantal iDeal-transacties stijgt minder hard
Aantal iDeal-transacties stijgt minder hard Nieuws van 14 januari 2010
Consumentenbond wil einde aan iDeal-heffing van webwinkels
Consumentenbond wil einde aan iDeal-heffing van webwinkels Nieuws van 24 november 2009
Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk
Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk Nieuws van 6 november 2009
'Contactformulieren op overheidssites vaak onveilig'
'Contactformulieren op overheidssites vaak onveilig' Nieuws van 3 augustus 2009
Google voegt 'https-modus' toe aan Chrome 2.0
Google voegt 'https-modus' toe aan Chrome 2.0 Nieuws van 11 januari 2009
Strenge eisen voor nieuwe ssl-certificaten
Strenge eisen voor nieuwe ssl-certificaten Nieuws van 27 december 2006
Veiliger alternatief voor SSL-certificaten in de steigers
Veiliger alternatief voor SSL-certificaten in de steigers Nieuws van 12 december 2005
XS4all stuurt concurrenten excessieve brief
XS4all stuurt concurrenten excessieve brief Nieuws van 21 oktober 2005
Meer producten en artikelen
Internettoegang E-commerce Internet Beveiliging

Reacties (91)

-Moderatie-faq
91
91
73
5
0
7
Wijzig sortering
wildhagen
18 november 2009 14:32
Ok, is idd wat minder handig, maar SSL is ook niet heilig en is ook kwetsbaar, zie bijvoorbeeld dit nieuwsbericht: nieuws: Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk

Dus ook al gebruikt de site wél SSL, is dat nog geen garantie dat de verbinding ook daadwerkelijk secure is.

En laten we wel zijn, het bedrijf bied zelf SSL-certificaten aan. Je kan dan ook je vraagtekens plaatsen bij de betrouwbaarheid van het onderzoek, erg onafhankelijk is het niet op deze manier...
Anoniem: 322441 @wildhagen18 november 2009 14:35
Ik vraag me af wat ook het kostenplaatje van dit verhaal is. Dit zal waarschijnlijk ook wel een reden zijn dat bedrijven niet zo snel over de streep getrokken worden.

Als je de prijzen vergelijkt van webshops en gewone winkels moeten de marges lager zijn dus deze extra onkosten moeten de webshops in deze tijd ook nog kunnen ophoesten natuurlijk.
Freemann @Anoniem: 32244118 november 2009 14:38
Een eigen SSL certificaat is voor de kleine webshops "onbetaalbaar"...
Je betaalt zomaar een paar honderd euro netto per jaar. Eventueel kan je een share-certificate gebruiken en die zijn dan goedkoper.
wildhagen
@Freemann18 november 2009 14:42
Euh... COMODO bied al SSL-certificaten aan voor 70 dollar per jaar (bij 5 jaar totaal), dus dat valt wel mee, dat is dus 46 euro per jaar . Lijkt me voor elke shop, zelfs de kleintjes, prima te betalen.

Ja, je moet ze niet per se bij VeriSign gaan halen nee, die zijn idd een stuk duurder.

[Reactie gewijzigd door wildhagen op 23 juli 2024 08:33]

Passkes @wildhagen18 november 2009 22:10
Ja en bedenk ook even dat je per certificaat 1 ipadres nodig hebt, helemaal dus niet handig als je meerdere webshops hebt draaien op dezelfde server.

Ik denk in dit geval dat het Networking4all meer gaat om de misgelopen inkomsten, in die zin alle mensen welke nog geen certificaat hebben en voor hun potentiele klanten zijn.

Daarnaast zijn SSL certificaten gewoon te gemakkelijk te verkrijgen, en kan elke jan doedel deze aanschaffen zonder zichzelf bekend te maken.

Hier nog een net artikel welke beschrijft dat SSL helemaal niet zo veilig meer is:
http://blogs.securiteam.com/index.php/archives/1228
Carbon @wildhagen18 november 2009 15:01
Euh... COMODO bied al SSL-certificaten aan voor 70 dollar per jaar (bij 5 jaar totaal),
Kan net zo veilig en gratis met een self-signed certificate.

Enige nadeel is dat de gebruiker een melding krijgt omdat de signing-authority onbekend is.
wildhagen
@Carbon18 november 2009 15:06
Ja, en dat wil je dus niet op een website, oogt nogal amateuristisch natuurlijk naar je klanten toe. Dan ga je dus niet met selfsigned certs werken...

Ik bedoel, als je geen 46 euro per jaar kan missen als webwinkel heb je kennelijk je zaken toch niet helemaal goed op orde, financieel gezien. Dat is notabene nog geen 4 euro per maand.

[Reactie gewijzigd door wildhagen op 23 juli 2024 08:33]

Onno ! @wildhagen18 november 2009 15:35
Hoeveel maanden heeft een jaar op jouw planeet? :)

OT: Ik heb onlangs een webwinkel gemaakt voor mn vriendin. Bij het zoeken naar de kosten van een SSL certificaat schrok ik van de bedragen. De iDeal betalingen lopen via Multisafepay, zodat dit 100% veilig is, en goedkoper dan direct bij de bank.

iig moet de shop aardig gaan lopen wil een SSL certificaat geregeld gaan worden.
Glashelder @Onno !19 november 2009 01:17
Ik weet niet waar jij naar gezocht heb voor een SSL certificaat maar ik heb ze gewoon voor m'n thuisserver. Kost me 15 euro per jaar. Als je dat niet kan betalen met je webshop dan doe je toch echt iets niet goed.

Een een self-signed certificaat is helemaal niet veilig, omdat je juist niet kan controleren of je met de juiste server te maken hebt. Een man-in-the-middle attack is dan een fluitje van een cent.
LordMike @wildhagen18 november 2009 17:05
Aangezien dat toch weeral een extra kost is zie ik niet in waarom ik dit als webshop zou toevoegen..

Hoe goedkoper hoe beter, zowel voor de consument als mezelf :)
hellbringer @wildhagen18 november 2009 22:13
Tuurlijk wel! Net zoals deze toko voor de webmail: https://mailservers.wiwo.nl/ (self signed, verkeerde server & verlopen sinds 2003) 8)7
Doen ook security audits: http://www.wiwo.nl/?page=tarieven
CyBeR @Carbon19 november 2009 09:36
Dat is dus niet veilig tenzij er vantevoren geverifieerd is dat jouw eigen CA keys kloppen met wat er uiteindelijk verstuurd wordt. Anders kun je niet verifieren of de certificaten die verstuurd worden ook daadwerkelijk de goede zijn en niet die van iemand in het midden.
keitje @wildhagen18 november 2009 14:44
Inderdaad, of Xolphin, heeft ook prachtige officiele SSL certificaten te koop voor echt niet veel geld per jaar.
jordees @Freemann18 november 2009 14:46
Een SSL certificaat kost gemiddeld 150 euro per jaar. De setup kosten zijn meestal een 100 euro (dus eenmalig).

Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.

Als je een 128-bits encryptie hebt is deze nagenoeg niet te kraken. En uiteraard kan het voorkomen dat er een lek in de beveiliging zit. Windows heeft er honderden, dus waar praten we over.

De kosten zijn het probleem niet, maar meestal de gebrekkige communicatie van de webontwikkelaar. Je kan een webwinkel-eigenaar erg eenvoudig overtuigen van de noodzaak van een SSL certificaat. Sterker nog, als alle webontwikkelaars het zouden verplichten, zo ook de Consumentenbond, is dit probleem de wereld uit.
Silent7 @jordees18 november 2009 14:55
Het valt best mee allemaal. Ik vind persoonlijk dat een SSL certificaat verplicht moet zijn en de veiligheid van communicatie tussen klant en webwinkel dus gegarandeerd kan worden. Uiteraard niet voor productselectie/keuze, maar wel voor betaling en profiel/gebruikersgegevens.

En jiju mag dat vinden ook.
Er is uitgebreide privacy wetgeving waarop een webshop aanspreekbaar is.
Maar een certificaat verplichten omdat een verkoper dat wil lijkt me niet de goede weg.
Verplcihtingen moeten voortvloeien uit iets anders dan commerciele belangen.
Zolang mensen nog voor een kans op een gratis zak chips al hun gegevens afstaan is het voor een crimineel niet het rendabelst om dit soort gegevens bij niet gecertificeerde webshops te achterhalen
Elke webshop wil goed omgaan met privacy, dat niet doen kan je de kop kosten en dat wil je gewoon niet. OF moeten we ook maar verplichten dat elke webshop een thuiswinkelwaarborg heeft? Denk dat die club dat ook maar wat graag zou zien.

[Reactie gewijzigd door Silent7 op 23 juli 2024 06:07]

jordees @Silent718 november 2009 15:23
Hoezo maak je uit mijn verhaal op dat het om een verkoper gaat die graag een SSL certificaat wil slijten? Het gaat om het waarborgen van de persoonsgegevens van consumenten, waar jij er waarschijnlijk ook één van bent.

Als veiligheid dan eigenlijk alleen maar draait om het geld dat ermee verdient wordt, dan schaffen we toch gewoon alle veiligheidsmaatregelen af die ooit verzonnen zijn?

Geen autogordels meer, geen helm op de brommer, geen kevlar vest voor agenten en geen pincodes meer op bankpasjes. gewoon omdat er organisaties zijn die daar geld aan verdienen. Verder dient het geen enkel doel, toch?
Silent7 @jordees18 november 2009 16:18
Ehm: lees je even het berichtje nogmaals?
Uit onderzoek van Networking4all, dat onder meer ssl-certificaten aanbiedt
De verkoper brengt een onderzoek naar buiten.

Vreemde boosheid hoor (neem maar een bakje koffie minder of een kopje thee meer ;)), want precies de voorbeelden die jij noemt zijn nu van belang om wel te reguleren waarbij verkeersmaatregelen zorgen voor hogere kosten voor gebruikers en dus een wettelijke basis nodig zullen hebben voor complete implementatie. De pincode is net een certificaatje iets anders, als webshop het niet goed doet kunnen ze failiet gaan en dat wil je niet, dus regels en verplichtingen is in een dergelijke situatie niet nodig, de markt reguleert zichzelf. Zo doet de ABN het in het geval van electronisch betalen zus, en de postbank zo, ik vind het systeem postbank minder veilig overkomen en gebruik dus ABN, wil de postbank mij als klant dan zullen ze hun systeem moeten aanpassen, en als er veel mensen zijn zoals ik dan zullen ze dat doen, daar is geen regel of verplcihting voor nodig.
EDIT @Freemann18 november 2009 14:43
Een standaard certificaat kost ongeveer 20 euro per jaar (bijvoorbeeld hier). Dit moet toch niet al te lastig zijn voor een webwinkel?

Disclaimer: ik heb niets met de betreffende SSL certificaat aanbieder te maken, dit is enkel het eerste resultaat in Google.

[Reactie gewijzigd door EDIT op 23 juli 2024 08:33]

Zer0 @EDIT18 november 2009 15:03
En zo een standaard certificaat voldoet niet echt aan de eisen voor een webshop...
garp @Zer018 november 2009 15:19
Waarom niet, als ik vragen mag? 128bits encryptie is 128bits encryptie, toch? Wat is volgens jou dan het verschil met duurdere varianten, technisch?

Je betaalt - volgens mij - over het algemeen simpelweg voor het vertrouwen dat je in een bepaalt product stelt, of het vertrouwen dat het uitstraalt. Wil je enkel en alleen SSL-encryptie en zal het je verder worst zijn of dat van partij a, b of c is, kies dan lekker de goedkoopste. Wil je vertrouwen, pak dan een dure (EV-SSL oid). Als je maar wat doet.
kmf @Anoniem: 32244118 november 2009 14:40
Wij moesten hier ook even naar kijken. Toen bleek dat we per server (5) 2000 euro per jaar kwijt zijn.... Per (sub)domeinnaam..

[Reactie gewijzigd door kmf op 23 juli 2024 08:33]

Anoniem: 62763 @kmf18 november 2009 15:22
Wtf?? Wat voor oplichtersbende is dat dan?
Wij zijn met onze Thawte certificaten echt niet zo veel kwijt, hoor.
garp @kmf18 november 2009 15:27
Dan ben je niet goed voorgelicht; voor 1000 euro ben je klaar. Jouw oplossing ligt bij GlobalSign wildcard-certificaten. Bij Globalsign mag je die op 3 servers installeren ipv op1, zoals bij Verisign en onderaannemingen van Verisign het geval is. Met nog 2 addidionele licenties (of een extra 'set' van 3 licenties) ben je dan dus gedekt voor je domein en alle subdomeinen op die 5 machines. Info op http://nl.globalsign.com/nl/ssl+certificaten/domainssl/ en http://nl.globalsign.com/...ificaten/organisationssl/

Ik ben onafhankelijk consultant en heb niets met Globasign verder. Doe je voordeel met dit gratis advies. Of niet natuurlijk.

[Reactie gewijzigd door garp op 23 juli 2024 08:33]

capsoft @Anoniem: 32244118 november 2009 14:38
ssl-ev kan rond de 600 per jaar zijn....
en dat voor een simpel certificaatje, van een paar kb
ik snap dat er veel administratie om heen zit etc. maar toch vind ik het prijzig
Proxx @capsoft18 november 2009 14:43
Kan. maar volgens mij kun je voor 30eur per maand (356euro p/jaar) best een goed en gevalideerd certificaat krijgen en goedkoper wil ook wel lukken.
Roland684 @Anoniem: 32244119 november 2009 07:48
Er zijn ook vele instanties die gratis certificaten verstrekken.
Anoniem: 146814 @wildhagen18 november 2009 15:15
Om wildhagen nog even aan te vullen: ik heb recent comodo moeten wijzen op een procedurefout die me in staat stelde om een SSL certificaat voor elk gewenst domein, incl bijv mijn.ingbank.nl aan te vragen.

SSL kan de veiligheid een beetje verbeteren, maar dit onderzoek vind ik kortzichtig; SSL is niet het enige wat er toe doet. Niet heel vreemd, het is natuurlijk wel een bedrijf wat een onderzoek publiceert om meer klanten binnen te hengelen.
Keypunchie
@Anoniem: 14681418 november 2009 16:36
Maar wat voor SSL-certificaat je ook gebruikt (een valse of een self-signed, of zelfs een revoked), je gegevens worden versleuteld verstuurd, dus een 3e partij "in-the-middle" kan er niet bij.

Er zitten twee aspecten aan een SSL-certificaat:
1) Identiteit: Je hebt (een bepaalde) zekerheid dat je ook echt zaken doet met wie je denkt zaken te doen.
2) Encryptie: Je gegevens worden versleuteld verstuurd, dus iemand met een packet-sniffer kan niet zomaar meelezen met wat je heen en weer stuurt.
Glashelder @Keypunchie19 november 2009 01:22
Met een self-signed certificaat kan er gewoon een man-in-the-middle tussen zitten? Immers, de key van de server kan niet gecontroleerd worden bij een vertrouwde instantie. Die key kan dus ook gewoon afkomstig zijn van bijvoorbeeld een Squid Proxy. Kan jij niet controleren.

Bij een echt certificaat wordt je dan gewaarschuwd.
Rukapul 18 november 2009 14:57
ot: de WC-eend retailer doet een onderzoek naar de viezigheid van toiletten
Dit terwijl een ssl-certificaat verplicht is om te voldoen aan de Wet Bescherming Persoonsgegevens, zegt Paul van Brouwershaven, technisch directeur van Networking4all.
Heel objectief gezien is een SSL certificaat voor webshops wel een van de minst effectieve maatregelen om om bescherming van persoonsgegevens op een hoger plan te tillen. De reden waarom is ook eenvoudig: er is geen hond die op enig significante schaal verkeer gaat sniffen om erachter te komen hoe ik heet en waar ik woon (=meest voorkomende persoonsgegevens bij online shopping). Er zijn andere veel effectievere manieren daarvoor ;)

In klassieke security termen: de impact is vrijwel nul

Dit laat onverlet dat het wel good practice is om te doen. Ik zou er echter aan toe willen voegen om dan ook de andere echt serieuze aspecten aan te pakken en SSL niet tot de oplossing te verklaren, want dan kom je op niets meer uit dan security theater en daar wordt niemand beter van.

[Reactie gewijzigd door Rukapul op 23 juli 2024 08:33]

CyBeR @Rukapul19 november 2009 09:47
Heel objectief gezien is een SSL certificaat voor webshops wel een van de minst effectieve maatregelen om om bescherming van persoonsgegevens op een hoger plan te tillen. De reden waarom is ook eenvoudig: er is geen hond die op enig significante schaal verkeer gaat sniffen om erachter te komen hoe ik heet en waar ik woon (=meest voorkomende persoonsgegevens bij online shopping). Er zijn andere veel effectievere manieren daarvoor ;)

In klassieke security termen: de impact is vrijwel nul
Hoho, niet te snel. Een van de websites die ik draai voorziet vrouwen van pillen t.b.v. abortus als die in landen wonen waar dat gewoonlijk niet mag. Dat ligt in sommige landen echt heel erg gevoelig. Om er direct maar van uit te gaan dat dat niet afgeluisterd wordt is wat naief.
donotwant 18 november 2009 21:09
Wat een ontzettende onruststokers daar, en ook zeker een "wij van wc eend" actie aangezien ze zelf die certificaten verkopen.

Jah dan wordt het onversleuteld over het internet verstuurd, waar zou het onderschept moeten worden?
Tussen waar het erin gaat (jouw router) en waar het eruit komt (bijv webshop) is er al geen mogelijkheid, tenzij je bij een ISP werkt en op dat niveau toegang hebt tot het netwerk.

Dan blijven er 2 mogelijkheden over: jouw LAN en de webshop.

Dus tenzij je op een hotspot zit ergens (packetsniffers), of een computer vol spyware hebt, lijkt het mij niets om je druk over te maken.

Mijn mening: versleutelen is altijd goed, maar vaak niet nodig, en certificaten zijn onzin, want je hebt geen certificaat nodig om dingen te versleutelen, een certificaat betekent meestal alleen dat je ervoor betaald hebt.

[Reactie gewijzigd door donotwant op 23 juli 2024 08:33]

Anoniem: 295700 18 november 2009 14:46
Het probleem met SSL is dat het niet werkt als er meerdere websites op 1 IP adres zitten. Als de bouwer van de website ervoor zorgt dat de personalia niet samen met de bestelling worden verzonden, dan is er niets aan de hand. In theorie zou je het verkeer kunnen sniffen maar die informatie is nauwelijks iets waard.

De iDeal transacties zelf zijn altijd veilig omdat de feitelijke betalingsgegevens op de achtergrond via SSL worden uitgewisseld tussen de webserver en de bank en dat de transactie zelf via de website van de bank en de bezoeker verloopt.

Maar goed als je de website van Networking4all bekijkt dan zie je dat ze SSL certificaten verkopen. Duidelijk een gevalletje "Wij van wc-eend adviseren..."
mjtdevries @Anoniem: 29570018 november 2009 14:59
Waarom zou SSL niet werken als er meerdere websites op 1 IP adres zitten?
Het IP heeft niets te maken met SSL.
stappel_ @mjtdevries18 november 2009 15:06
jammer genoeg wel. als je meerdere virtual hosts draait op 1 ip dan gaat SSL niet werken.

De webserver weet niet voor welke virtual host de request bedoeld is omdat het HTTP packetje ingepakt is met SSL. In het request naar de server staat het ip nummer en dat het een SSL encrypted pakketje is. Hij kan dat niet "generiek" uitpakken omdat elke virtual host zijn eigen SSL cert heeft. hij kan dus niet bepalen naar welke host het moet.
Anoniem: 62763 @stappel_18 november 2009 15:25
Iets wat je op kunt lossen middels het inzetten van een reverse proxy die de SSL versleuteling doet. Echter heb dan ook niet zoveel aan je certificaat aangezien die fqdn gebonden is. (je zou een * cert aan kunnen vragen, maar trek dan je portemonnee maar open.)
Anoniem: 146814 @Anoniem: 29570018 november 2009 16:00
Het probleem met SSL is dat het niet werkt als er meerdere websites op 1 IP adres zitten.
Is niet helemaal meer waar. mod_ssl ondersteunt idd dit nog niet, maar mod_gnutls heeft een tls extensie aan boord die meerdere ssl sites op 1 ip mogelijk maakt. Naar ik begreep -heb 't zelf niet getest- ondersteunen alle moderne browsers dit ook.
Anoniem: 295700 @Anoniem: 14681418 november 2009 16:51
Interessant. Maar veel zin heeft het toch niet als er vervolgens een e-mail naar de klant wordt gestuurd met daarin de gegevens van zijn/haar bestelling.
Nibulez 18 november 2009 14:38
Net alsof elke webwinkel een paar honder euro per jaar wil betalen zodat de artikelen veilig in de winkelmand komen zonder dat iemand er iets vanaf weet.

Met betalen via IDEAL kom je toch op de site van je bank die wel SSL heeft.
dev10 @Nibulez18 november 2009 14:48
Net alsof elke webwinkel een paar honder euro per jaar wil betalen zodat de artikelen veilig in de winkelmand komen zonder dat iemand er iets vanaf weet.
Niet iedere webwinkel zal dat inderdaad willen, maar als webwinkel is het een kleine moeite om dit te regelen. Voor een kleine €35 euro per jaar heb je al een certificaat en het geeft je klanten een veiliger gevoel als ze hun gegevens invullen met een beveiligde SSL verbinding.
capsoft @dev1018 november 2009 14:58
mag ik vragen waar je die haalt?
is dat een selfsigned die firefox blockt?
garp @capsoft18 november 2009 15:45
Kijk eens op de website van de onderzoekers bijvoorbeeld: http://www.networking4all...per+validatie/domeinnaam/

Google ook eens op SSL Certificate RapidSSL of zo, dan kom je uit bij partijen die certificaten aanbieden vanaf 12,95 dollar. Geen geld.

Willekeurig google resultaat: http://www.webhostingtalk.com/showthread.php?t=861704

Goedkope certificaten zijn bijvoorbeeld de RapidSSL certificate, die worden netjes door vrijwel alle browsers herkend en dus niet geblockt.

[Reactie gewijzigd door garp op 23 juli 2024 08:33]

mashell @garp18 november 2009 18:01
Wordt een goedkoop cerfiticaat niet erg gemakkelijk uitgegeven en zegt het dus weinig over de betrouwbaarheid van de certificaten koper?
garp @mashell18 november 2009 20:42
Tja, ze zijn 'domain validated', dus het toont alleen aan dat je inderdaad de 'beschikking' hebt over het domein. Het niet hebben van een certyificaat zegt ook niets over de betrouwbaarheid, maar met een certificaat heb je in ieder geval een encrypted sessie tussen je browser en de server bewerkstelligd, waardoor het verkeer dat zo over de lijn iig beschermd is.

Voor wat meer vertrouwen moet je richting EV (Extended Validation) certificaten gaan, maar dat is dan wel weer een hoop gedoe hoor. Ze willen dan echt allerlei bewijs van je hebben dat je organisatie valide is. Accountantsverklaring,uittreksel kvk (in het engels) et cetera. Ze gaan je ook daadwerkelijk mensen in je organisatie bellen en zo voorts....

Het is maar net wat je wilt....
mjtdevries @dev1018 november 2009 14:57
En zelfs al zou je zo'n duur Versisign certificaat nemen a $900, dan is dat nog peanuts op de totale omzet van zo'n webshop op jaarbasis.
Anoniem: 126717 @mjtdevries18 november 2009 15:16
En waarschijnlijk aftrekbaar van de belasting (het zijn bedrijfskosten), dus netto nog minder.
burrug 18 november 2009 15:28
Ze moeten die SSL-certificaten gewoon wat goedkoper maken. Voor een eenmanszaak kan dit een behoorlijke kostenpost zijn.
Guru Evi @burrug18 november 2009 17:16
Ahum: startssl.com

Er is echt geen reden om geen SSL certificaten te gebruiken op je domein. Je kunt SSL certificaten zelf genereren of je kunt ze gratis krijgen of tegen een lage kost ($20/jaar).

Ikzelf shop bij geen enkele winkel die het volledige proces van uitchecken -> betaling en confirmatie niet over SSL doet.

Doe je dat niet dan kan iedereen gewoon meelezen wat je aankoopt en als ik nu een 32" TV aankoop wil ik niet dat er iemand anders zich voordoet als mijzelf tijdens de levering of achteraf in mijn huis komt om het weg te halen.
Anoniem: 213481 @Guru Evi18 november 2009 17:45
Jij parkeert vast en zeker ook steevast je auto een paar straten verderop zodat "zij" niet weten in welk huis die autosleutels te vinden zijn.. :z
Limaad 18 november 2009 14:45
"Criminelen zouden profielen van je kunnen aanleggen, met behulp van je adresgegevens, maar ook met de aankopen die je doet"
ow, en alleen de criminelen doen dat?
of valt de verkoper ook onder de naam crimineel?

Alles wordt geregistreerd.. (en ja, bedrijven / overheden zijn ook crimineel dus)

edit:
de verkoper kan deze gegevens natuurlijk ook gewoon doorverkopen, die voorwaarden zijn meestal toch al geaccepteerd.

[Reactie gewijzigd door Limaad op 23 juli 2024 08:33]

Roland684 @Limaad19 november 2009 07:51
En wat dacht je dat google doet met hun banners op half de sites op het internet? (en google mail en google search en en en) Hun hele bedrijfsmodel is gabaseerd op het aanleggen van een zo gedetaillerd mogelijk profiel van alles en iedereen.

[Reactie gewijzigd door Roland684 op 23 juli 2024 08:33]

Joolee 18 november 2009 14:46
Probleem is ook nog dat de beheerder van de website dit moet kunnen installeren en je hebt een eigen IP adres nodig voor een ssl verbinding.
Je hebt dus niet alleen te maken met de jaarlijkse kosten (die zover uiteenlopen dat je door de bomen het bos niet meer ziet)

[Reactie gewijzigd door Joolee op 23 juli 2024 08:33]

Roland684 @Joolee19 november 2009 07:53
Het probleem is gewoon dat het niet eenvoudig in de webshop-pakketten zit. Technisch is er geen reden om het niet te doen, het is alleen te ingewikkeld om wel te doen en te makkelijk om niet te doen.
Moartn 18 november 2009 14:58
Er wordt te weinig SSL gebruikt!!!111 ...zegt de verkoper van SSL-certificaten... :')

Natuurlijk hebben ze deels wel gelijk hoor, maar laten we het niet gaan overdrijven. Ik denk dat de beveiliging van veel webwinkels zelf een groter probleem is dan het gebrek aan SSL. Het heeft weinig nut dat je gegevens beveiligd over de lijn gaan als de webwinkel zelf vatbaar is voor XSS-aanvallen of andere beveiligingslekken heeft.

Dan nog wat: de kosten van zo'n certificaat zijn voor kleine webwinkel nog wel op te brengen (paar tientjes op jaarbasis), maar veel kleinere webwinkels zullen op een shared hostingaccountje draaien, en dan werkt SSL niet: je moet namelijk een dedicated IP-adres hebben. De extra kosten voor hosting worden vaak buiten beschouwing gelaten, terwijl dat toch behoorlijk in de papieren kan lopen.
Anoniem: 62763 @Moartn18 november 2009 15:27
Er wordt te weinig SSL gebruikt!!!111 ...zegt de verkoper van SSL-certificaten...
Dat is niet eens wat het geval is. Er wordt wel SSL gebruikt, maar dan met self-signed certificaten. Dus de encryptie is er wel, enkel de waarborging dat je met de juiste partij zit te babbelen niet.

Dus het is allemaal wat overtrokken, gezien het feit dat je voor de gemiddelde man-in-the-middle attack niet eens SSL hoeft te gebruiken (geen SSL, geen meldingen), niemand (de huis-, tuin- en keukgengebruiker) die het merkt.

[Reactie gewijzigd door Anoniem: 62763 op 23 juli 2024 08:33]

Anoniem: 190996 18 november 2009 15:54
Wat een onzin, dit is helemaal niet verplicht volgens de Wet Beschermings Persoonsgegevens. Of je moet je klanten ook meteen even naar religie en BSN gaan vragen.

De betaling is goed beschermd. Verder worden er niet meer gegevens uitgewisseld dan die in het telefoonboek staan.

SSL invoeren is best wel gedoe, met name als er veel websites op een server draaien. Daarbij kost het versleutelen van je webpagina ook performance. Het zou aardig zijn om te bekijken wat er met het energieverbruik van Internet gebeurt als we alles gaans ssl-en.
Anoniem: 19339 @Anoniem: 19099618 november 2009 17:00
De betaling is goed beschermd. Verder worden er niet meer gegevens uitgewisseld dan die in het telefoonboek staan.
Nee, maar het zou prettig zijn als criminelen niet al te gemakkelijk kunnen meekijken als ik online een reis boek. Leuk dat de betaling zelf encrypted is, maar als ze unencrypted kunnen zien wanneer ik 3 weken niet thuis ben, is de schade wel wat groter.

Of even kijken waar die breedbeeld-tv's geleverd gaan worden, of of of...

Vergezocht misschien, maar helemaal onzinnig is het nou ook weer niet.
SSL invoeren is best wel gedoe, met name als er veel websites op een server draaien. Daarbij kost het versleutelen van je webpagina ook performance. Het zou aardig zijn om te bekijken wat er met het energieverbruik van Internet gebeurt als we alles gaans ssl-en.
Als je dermate veel transacties te verwerken hebt dat ssl een significante overhead gaat vormen, laat staan dat je het terugziet op je energierekening, dan ben je wel een dusdanig grote winkel dat die paarhonderd euro voor een certificaat er ook niet meer toe doen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq