-
09-09-2013, 13:37 #1Member
- Registered
- 01/08/03
- Location
- Antwerpen
- Posts
- 8,672
- iTrader
- 9 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 1/28
SSL certificaat: verschil in prijs?
Hallo
Voor mijn kleinschalige webshop heb ik een SSL-certificaat nodig (voorkeur gaat naar Comodo). Ik zie veel prijzen: van 60 tot 10€/jaar voor het zelfde certificaat.
Waarom zo'n grote prijsverschillen? Kan iemand mij een "adres" aanraden voor SSL-certificaten?
MvgPSN: Atrox87.no votes
-
-
09-09-2013, 14:44 #2
De verschillen zijn:
- Prijs
- Niveau van encryptie (aantal bits voor de sleutel)
- Aftersales support
- Scope (enkel één URI, volledig domein met subdomeinen etc.)
- Hoe ver men gaat in certificaat validatie
- Hoe sterk wordt de root CA (de uitgever van het certificaat) vertrouwd
Vooral de laatste twee zijn te overwegen, maar bv. de tweede bv. is tegenwoordig meer zever in pakjes (iedereen kan lange sleutels aanmaken en de extra veiligheid kan je echt wel in vraag stellen) en het derde kan gaan over hoeveel de CA uitbetaalt als je door hun fout (zij worden gehackt of whatever) schade lijdt.
Hoe sterker de certificaatuitgever het bedrijf/de persoon achter het certificaat gaat verifiëren, hoe meer vertrouwen een gebruiker kan hebben als het bijvoorbeeld om centen gaat. Voor sommige online activiteiten zal het zelfs verplicht zijn een bepaald level van certificatie te behalen voor je legaal in orde bent. Korte info (en via google search een pak extra info) op bv Extended Validation-certificaat - Wikipedia
Tegenwoordig worden al heel wat van de goedkope certificate authorities vertrouwd door alle browsers etc. Vroeger was dat minder het geval. Nu, het gebeurt nog altijd dat zeer goedkope CA eigenlijk untrusted zijn in één of meerdere omgevingen waarin ze gebruikt worden. Meer info op Comparison of SSL certificates for web servers - Wikipedia, the free encyclopedia
Wat jij je moet afvragen is het doel van je certificaat: gaat het enkel om end-to-end encryptie of wil je dat het certificaat jouw gebruiker vertrouwen geeft in het bedrijf dat erachter zit (zoals bijvoorbeeld bij https bij online banking, dat zijn die "heel dure" certificaten).
Het is een heel uitgebreide materie, maar voor de basic SSL zal zowat alles volstaan zolang de root CA maar trusted is (zie die wikipedia pagina daarvoor). Het ene certificaat is zeker het andere niet en heel dikwijls betaal je voor een stuk ook de naam (nv Digicert of GlobalSign) omdat die naam vertrouwen schept.
StartSSL heeft een gratis optie en voor de rest hebben ze democratische prijzen ook. Zij zijn ook trusted. Je zal misschien bewijsstukken moeten doormailen/doorfaxen die bewijzen dat je als registrant bestaat (BTW-gegevens, rechtspersoon identiteitskaart, …).no votes
-
09-09-2013, 18:06 #3
http://xolphin.nl
Daar hebben ze er van de meeste leveranciers en aan goede prijzen, met een goede support!
De prijsverschillen heeft bealzebub mooi op een rij gezet, veel info daarover vind je ook op de Xolphin website.no votes
-
09-09-2013, 21:53 #4Member
- Registered
- 01/08/03
- Location
- Antwerpen
- Posts
- 8,672
- iTrader
- 9 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 1/28
Ja, die Xolphin had ik al gevonden.
De Comodo PositiveSSL lijkt me prima voor mijn doeleinden. Bedoeling is om de checkout & de account pagina's te beveiligen. WWW & non WWW is ook belangrijk.
Lijkt me dan een goede keuze?PSN: Atrox87.no votes
-
10-09-2013, 11:11 #5
jep, kheb ook de Comodo positiveSSL in gebruik, tevreden van
Ik had wel wat problemen met mijn certificaat op mobile devices, maar support heeft dat goed opgelost
no votes
-
10-09-2013, 12:29 #6Member
- Registered
- 01/08/03
- Location
- Antwerpen
- Posts
- 8,672
- iTrader
- 9 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 1/28
no votes
-
14-09-2013, 13:01 #7Banned
- Registered
- 27/10/12
- Location
- Oost-Vlaanderen
- Posts
- 4,212
- iTrader
- 12 (93%)
- Mentioned
- 8 Post(s)
- Reputation
- 4/50
Sorry voor de domme vraag maar waarom heb je voor een webshop een ssl certificaat nodig? Indien je werkt met een plugin zoals MultiSafePay dan zit je toch safe voor alles?
no votes
-
15-09-2013, 12:56 #8
Met MultiSafePay heb je enkel beveiligde externe payment processing en weet je gebruiker dat MultiSafePay legit is.
Daarmee heb je nog niet door een derde partij op z'n minst het bestaan van jouw bedrijf laten verifiëren. Een company validated SSL certificaat zal dus dienen om vertrouwen te scheppen bij je gebruiker.
Daarbij komen dan ook nog eens subjectieve gevoelens in de zin van: "Ik moet hier mijn login en paswoord in cleartext doorsturen op een site waar ik dan nog eens geld op uitgeef". Dan maakt het echt niet uit dat je payment processing extern is. Misschien niet bij iedereen, maar toch zeker bij velen.
Voor mezelf weet ik één ding: als ik ergens geld uitgeef online en ik ken de site niet, dan check ik het certificaat (ook de gegevens ervan). Zijn er geen of zijn de gegevens fishy ("S. Cam LLC, bestuurder Jane Doe, gevestigd in Oekraïne") dan ben ik direct weg.no votes
-
15-09-2013, 15:38 #9Banned
- Registered
- 27/10/12
- Location
- Oost-Vlaanderen
- Posts
- 4,212
- iTrader
- 12 (93%)
- Mentioned
- 8 Post(s)
- Reputation
- 4/50
Als ik zie hoe de paswoorden in de databank terecht komen (245sdcfszdfv4s65df465sf46s1fsfsfd54f6sd54f) dan heb ik toch niet echt bang. Of ben ik daar verkeerd in? Betalen met Visa vereist ook nog steeds een PIN code, plus ze hebben mijn VISA kaart niet in hun hand (de eventuele hackers)
no votes
-
15-09-2013, 16:29 #10
Totaal naast de kwestie.
- Logins en paswoorden kunnen relatief gemakkelijk gesniffd worden tussen jouw kant en de servers zijde, zonder access op één van beiden. SSL gaat de gegevens tussen die twee endpoints encrypten, dus sniffen is nutteloos. Dat ze als een hash opgeslaan worden op de server heeft niets te maken met het traject tussen client en server.
- Je geld terugeisen na een aankoop een frauduleuze site is niet zo makkelijk. Bij Visa zelf zit je met een franchise (die dikwijls hoger is dan het aankoopbedrag) en bij veel payment handlers is het al helemaal onmogelijk, zeker als je via "Verified by Visa" met je DigiPass de aankoop gevalideerd hebt. Een validated SSL, waarbij de CA een certificaat alleen maar uitgeeft nadat de aanvrager bewijs geleverd heeft van identiteit en bestaan van het bedrijf zorgt ervoor dat er minder kans op bedriegen is. De aanvrager is immers bekend. Zou jij frauderen als je gegevens rechtstreeks opvraagbaar zijn?
Last edited by bealzebub; 15-09-2013 at 16:36.
no votes
-
15-09-2013, 17:37 #11Banned
- Registered
- 27/10/12
- Location
- Oost-Vlaanderen
- Posts
- 4,212
- iTrader
- 12 (93%)
- Mentioned
- 8 Post(s)
- Reputation
- 4/50
Zeer concreet: hoe kan een hacker een tv kopen van €2.000 met mijn login gegevens als hij mijn fysische Visa kaart niet heeft? Ik heb het altijd geweten dat je daar nog eens jouw Visa moet valideren met zo'n bakje, zoniet gaat de betaling niet door. Of is dit niet zo bij alle webshops?
no votes
-
15-09-2013, 20:30 #12
Een hacker kan dat niet, jij kan dat doen op een frauduleuze site of een site die gehijackt is door een scammer. Jij kan een nieuwe TV van €2000 kopen op een site die via een DNS entry overgenomen is door een scammer. Alles ziet er volledig correct uit: de layout van de site, de URL zelf, payment gateway, omschrijving, … Je betaalt echter op een rekening die niet van de webshop is waar je denkt op te zitten.
Wanneer de site een certificaat heeft van een trusted CA heb je een pak meer zekerheid dat het bedrijf achter de site legit zal zijn. De CA heeft immers de gegevens die in het certificaat opgenomen zijn op de één of andere manier geverifieerd. Daarom dat die extended validations zoveel duurder zijn: de CA moet veel meer gegevens checken en heeft dus meer werk, maar de extra garantie die ze bieden zal zeker meer vertrouwen en mits goeie marketing extra sales geven.
Wanneer je koopt op een webshop zonder certificaat, zelfs al worden betalingen uiteindelijk afgehandeld door een payment gateway (die wel HTTPS heeft), kan jij nooit weten aan wie je koopt en moet je bij bedrog ook niet gaan klagen bij Visa of de payment gateway. Je moet dan proberen je geld terug te vorderen van de site eigenaar of bij de scammer die de site (bv. op DNS niveau, daarom niet op serverniveau) overgenomen heeft. Veel geluk daarmee.
Samengevat, de belangrijkste redenen voor een certificaat op jouw webshop, zelfs al handel je betalingen niet zelf af:
- Versleuteling van de communicatie
- Bescherming tegen manipulatie van de communicatie (man in the middle attack)
- Garanderen dat wat je klant ziet wel degelijk van jou komt, wat vertrouwen schept
Nu, gans deze discussie is eigenlijk totaal overbodig, want zowel in België en Nederland ben je min of meer wettelijk verplicht. Hier geldt de wet Bescherming persoonsgegevens, artikel 13, die zegt dat er passende technische en organisatorische maatregelen moeten aanwezig zijn om de persoonsgegevens te beveiligen. Het gaat hier dus al om "persoonsgegevens", zelfs niet over betalingsgegevens. Het feit dat je een naam hebt is dus al "persoonsgegevens". Er wordt niet expliciet gezegd dat SSL hier een vereiste is, maar daar komt het wel op uit. Je hebt nog alternatieven zoals RADIUS, maar het draait altijd rond zowel trust en security.
En dat er nog veel web apps zijn die geen SSL gebruiken terwijl ze dat beter wel zouden doen is zeker een feit. Niemand zal je zeggen dat je dat moet doen, jij moet weten wat je verplichtingen zijn (of iemand zoeken die het jou kan zeggen). Zolang er niets gebeurt zal je geen last hebben, maar als het ooit fout loopt zal je voor de rechtbank niet moeten zeggen dat je het niet wist, je zal moeten aantonen dat je voldoende maatregelen genomen hebt om de wet te respecteren.
Er is trouwens genoeg informatie over te vinden via een simpele google search.no votes
-
15-09-2013, 21:16 #13Banned
- Registered
- 27/10/12
- Location
- Oost-Vlaanderen
- Posts
- 4,212
- iTrader
- 12 (93%)
- Mentioned
- 8 Post(s)
- Reputation
- 4/50
Dat wist ik niet, bedankt voor de uitleg. Ik heb er weinig last van, ik koop altijd op dezelfde webshops
no votes

