1. #1
    Atrox's Avatar
    Registered
    01/08/03
    Location
    Antwerpen
    Posts
    8,672
    iTrader
    9 (100%)
    Mentioned
    0 Post(s)
    Reputation
    1/28

    SSL certificaat: verschil in prijs?

    Hallo

    Voor mijn kleinschalige webshop heb ik een SSL-certificaat nodig (voorkeur gaat naar Comodo). Ik zie veel prijzen: van 60 tot 10€/jaar voor het zelfde certificaat.

    Waarom zo'n grote prijsverschillen? Kan iemand mij een "adres" aanraden voor SSL-certificaten?

    Mvg
    PSN: Atrox87.
    no votes  

  2. #2
    bealzebub's Avatar
    Registered
    28/06/06
    Location
    Gent
    Posts
    376
    iTrader
    1 (100%)
    Mentioned
    0 Post(s)
    De verschillen zijn:

    • Prijs
    • Niveau van encryptie (aantal bits voor de sleutel)
    • Aftersales support
    • Scope (enkel één URI, volledig domein met subdomeinen etc.)
    • Hoe ver men gaat in certificaat validatie
    • Hoe sterk wordt de root CA (de uitgever van het certificaat) vertrouwd


    Vooral de laatste twee zijn te overwegen, maar bv. de tweede bv. is tegenwoordig meer zever in pakjes (iedereen kan lange sleutels aanmaken en de extra veiligheid kan je echt wel in vraag stellen) en het derde kan gaan over hoeveel de CA uitbetaalt als je door hun fout (zij worden gehackt of whatever) schade lijdt.

    Hoe sterker de certificaatuitgever het bedrijf/de persoon achter het certificaat gaat verifiëren, hoe meer vertrouwen een gebruiker kan hebben als het bijvoorbeeld om centen gaat. Voor sommige online activiteiten zal het zelfs verplicht zijn een bepaald level van certificatie te behalen voor je legaal in orde bent. Korte info (en via google search een pak extra info) op bv Extended Validation-certificaat - Wikipedia

    Tegenwoordig worden al heel wat van de goedkope certificate authorities vertrouwd door alle browsers etc. Vroeger was dat minder het geval. Nu, het gebeurt nog altijd dat zeer goedkope CA eigenlijk untrusted zijn in één of meerdere omgevingen waarin ze gebruikt worden. Meer info op Comparison of SSL certificates for web servers - Wikipedia, the free encyclopedia

    Wat jij je moet afvragen is het doel van je certificaat: gaat het enkel om end-to-end encryptie of wil je dat het certificaat jouw gebruiker vertrouwen geeft in het bedrijf dat erachter zit (zoals bijvoorbeeld bij https bij online banking, dat zijn die "heel dure" certificaten).

    Het is een heel uitgebreide materie, maar voor de basic SSL zal zowat alles volstaan zolang de root CA maar trusted is (zie die wikipedia pagina daarvoor). Het ene certificaat is zeker het andere niet en heel dikwijls betaal je voor een stuk ook de naam (nv Digicert of GlobalSign) omdat die naam vertrouwen schept.

    StartSSL heeft een gratis optie en voor de rest hebben ze democratische prijzen ook. Zij zijn ook trusted. Je zal misschien bewijsstukken moeten doormailen/doorfaxen die bewijzen dat je als registrant bestaat (BTW-gegevens, rechtspersoon identiteitskaart, …).
    no votes  

  3. #3
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    http://xolphin.nl

    Daar hebben ze er van de meeste leveranciers en aan goede prijzen, met een goede support!
    De prijsverschillen heeft bealzebub mooi op een rij gezet, veel info daarover vind je ook op de Xolphin website.
    no votes  

  4. #4
    Atrox's Avatar
    Registered
    01/08/03
    Location
    Antwerpen
    Posts
    8,672
    iTrader
    9 (100%)
    Mentioned
    0 Post(s)
    Reputation
    1/28
    Ja, die Xolphin had ik al gevonden.

    De Comodo PositiveSSL lijkt me prima voor mijn doeleinden. Bedoeling is om de checkout & de account pagina's te beveiligen. WWW & non WWW is ook belangrijk.

    Lijkt me dan een goede keuze?
    PSN: Atrox87.
    no votes  

  5. #5
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    jep, kheb ook de Comodo positiveSSL in gebruik, tevreden van Ik had wel wat problemen met mijn certificaat op mobile devices, maar support heeft dat goed opgelost
    no votes  

  6. #6
    Atrox's Avatar
    Registered
    01/08/03
    Location
    Antwerpen
    Posts
    8,672
    iTrader
    9 (100%)
    Mentioned
    0 Post(s)
    Reputation
    1/28
    Quote Originally Posted by adrianhates View Post
    This quote is hidden because you are ignoring this member. Show
    jep, kheb ook de Comodo positiveSSL in gebruik, tevreden van Ik had wel wat problemen met mijn certificaat op mobile devices, maar support heeft dat goed opgelost
    Thanks, Positive SSL it is dan. Even mijn hostingbedrijf contacteren voor de installatie. Ik snap er zelf de ballen van
    PSN: Atrox87.
    no votes  

  7. #7

    Registered
    27/10/12
    Location
    Oost-Vlaanderen
    Posts
    4,212
    iTrader
    12 (93%)
    Mentioned
    8 Post(s)
    Reputation
    4/50
    Sorry voor de domme vraag maar waarom heb je voor een webshop een ssl certificaat nodig? Indien je werkt met een plugin zoals MultiSafePay dan zit je toch safe voor alles?
    no votes  

  8. #8
    bealzebub's Avatar
    Registered
    28/06/06
    Location
    Gent
    Posts
    376
    iTrader
    1 (100%)
    Mentioned
    0 Post(s)
    Met MultiSafePay heb je enkel beveiligde externe payment processing en weet je gebruiker dat MultiSafePay legit is.

    Daarmee heb je nog niet door een derde partij op z'n minst het bestaan van jouw bedrijf laten verifiëren. Een company validated SSL certificaat zal dus dienen om vertrouwen te scheppen bij je gebruiker.

    Daarbij komen dan ook nog eens subjectieve gevoelens in de zin van: "Ik moet hier mijn login en paswoord in cleartext doorsturen op een site waar ik dan nog eens geld op uitgeef". Dan maakt het echt niet uit dat je payment processing extern is. Misschien niet bij iedereen, maar toch zeker bij velen.

    Voor mezelf weet ik één ding: als ik ergens geld uitgeef online en ik ken de site niet, dan check ik het certificaat (ook de gegevens ervan). Zijn er geen of zijn de gegevens fishy ("S. Cam LLC, bestuurder Jane Doe, gevestigd in Oekraïne") dan ben ik direct weg.
    no votes  

  9. #9

    Registered
    27/10/12
    Location
    Oost-Vlaanderen
    Posts
    4,212
    iTrader
    12 (93%)
    Mentioned
    8 Post(s)
    Reputation
    4/50
    Als ik zie hoe de paswoorden in de databank terecht komen (245sdcfszdfv4s65df465sf46s1fsfsfd54f6sd54f) dan heb ik toch niet echt bang. Of ben ik daar verkeerd in? Betalen met Visa vereist ook nog steeds een PIN code, plus ze hebben mijn VISA kaart niet in hun hand (de eventuele hackers)
    no votes  

  10. #10
    bealzebub's Avatar
    Registered
    28/06/06
    Location
    Gent
    Posts
    376
    iTrader
    1 (100%)
    Mentioned
    0 Post(s)
    Totaal naast de kwestie.

    • Logins en paswoorden kunnen relatief gemakkelijk gesniffd worden tussen jouw kant en de servers zijde, zonder access op één van beiden. SSL gaat de gegevens tussen die twee endpoints encrypten, dus sniffen is nutteloos. Dat ze als een hash opgeslaan worden op de server heeft niets te maken met het traject tussen client en server.
    • Je geld terugeisen na een aankoop een frauduleuze site is niet zo makkelijk. Bij Visa zelf zit je met een franchise (die dikwijls hoger is dan het aankoopbedrag) en bij veel payment handlers is het al helemaal onmogelijk, zeker als je via "Verified by Visa" met je DigiPass de aankoop gevalideerd hebt. Een validated SSL, waarbij de CA een certificaat alleen maar uitgeeft nadat de aanvrager bewijs geleverd heeft van identiteit en bestaan van het bedrijf zorgt ervoor dat er minder kans op bedriegen is. De aanvrager is immers bekend. Zou jij frauderen als je gegevens rechtstreeks opvraagbaar zijn?
    Last edited by bealzebub; 15-09-2013 at 16:36.
    no votes  

  11. #11

    Registered
    27/10/12
    Location
    Oost-Vlaanderen
    Posts
    4,212
    iTrader
    12 (93%)
    Mentioned
    8 Post(s)
    Reputation
    4/50
    Zeer concreet: hoe kan een hacker een tv kopen van €2.000 met mijn login gegevens als hij mijn fysische Visa kaart niet heeft? Ik heb het altijd geweten dat je daar nog eens jouw Visa moet valideren met zo'n bakje, zoniet gaat de betaling niet door. Of is dit niet zo bij alle webshops?
    no votes  

  12. #12
    bealzebub's Avatar
    Registered
    28/06/06
    Location
    Gent
    Posts
    376
    iTrader
    1 (100%)
    Mentioned
    0 Post(s)
    Quote Originally Posted by Fransz View Post
    This quote is hidden because you are ignoring this member. Show
    Zeer concreet: hoe kan een hacker een tv kopen van €2.000 met mijn login gegevens als hij mijn fysische Visa kaart niet heeft? Ik heb het altijd geweten dat je daar nog eens jouw Visa moet valideren met zo'n bakje, zoniet gaat de betaling niet door. Of is dit niet zo bij alle webshops?
    Een hacker kan dat niet, jij kan dat doen op een frauduleuze site of een site die gehijackt is door een scammer. Jij kan een nieuwe TV van €2000 kopen op een site die via een DNS entry overgenomen is door een scammer. Alles ziet er volledig correct uit: de layout van de site, de URL zelf, payment gateway, omschrijving, … Je betaalt echter op een rekening die niet van de webshop is waar je denkt op te zitten.

    Wanneer de site een certificaat heeft van een trusted CA heb je een pak meer zekerheid dat het bedrijf achter de site legit zal zijn. De CA heeft immers de gegevens die in het certificaat opgenomen zijn op de één of andere manier geverifieerd. Daarom dat die extended validations zoveel duurder zijn: de CA moet veel meer gegevens checken en heeft dus meer werk, maar de extra garantie die ze bieden zal zeker meer vertrouwen en mits goeie marketing extra sales geven.

    Wanneer je koopt op een webshop zonder certificaat, zelfs al worden betalingen uiteindelijk afgehandeld door een payment gateway (die wel HTTPS heeft), kan jij nooit weten aan wie je koopt en moet je bij bedrog ook niet gaan klagen bij Visa of de payment gateway. Je moet dan proberen je geld terug te vorderen van de site eigenaar of bij de scammer die de site (bv. op DNS niveau, daarom niet op serverniveau) overgenomen heeft. Veel geluk daarmee.

    Samengevat, de belangrijkste redenen voor een certificaat op jouw webshop, zelfs al handel je betalingen niet zelf af:
    • Versleuteling van de communicatie
    • Bescherming tegen manipulatie van de communicatie (man in the middle attack)
    • Garanderen dat wat je klant ziet wel degelijk van jou komt, wat vertrouwen schept


    Nu, gans deze discussie is eigenlijk totaal overbodig, want zowel in België en Nederland ben je min of meer wettelijk verplicht. Hier geldt de wet Bescherming persoonsgegevens, artikel 13, die zegt dat er passende technische en organisatorische maatregelen moeten aanwezig zijn om de persoonsgegevens te beveiligen. Het gaat hier dus al om "persoonsgegevens", zelfs niet over betalingsgegevens. Het feit dat je een naam hebt is dus al "persoonsgegevens". Er wordt niet expliciet gezegd dat SSL hier een vereiste is, maar daar komt het wel op uit. Je hebt nog alternatieven zoals RADIUS, maar het draait altijd rond zowel trust en security.

    En dat er nog veel web apps zijn die geen SSL gebruiken terwijl ze dat beter wel zouden doen is zeker een feit. Niemand zal je zeggen dat je dat moet doen, jij moet weten wat je verplichtingen zijn (of iemand zoeken die het jou kan zeggen). Zolang er niets gebeurt zal je geen last hebben, maar als het ooit fout loopt zal je voor de rechtbank niet moeten zeggen dat je het niet wist, je zal moeten aantonen dat je voldoende maatregelen genomen hebt om de wet te respecteren.

    Er is trouwens genoeg informatie over te vinden via een simpele google search.
    no votes  

  13. #13

    Registered
    27/10/12
    Location
    Oost-Vlaanderen
    Posts
    4,212
    iTrader
    12 (93%)
    Mentioned
    8 Post(s)
    Reputation
    4/50
    Dat wist ik niet, bedankt voor de uitleg. Ik heb er weinig last van, ik koop altijd op dezelfde webshops
    no votes  

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Log in

Log in