Goedemorgen,

Ik heb al even gezocht op het forum, maar ik kan zo niets actueels vinden.

Een klant van mij heeft een webshop, nu wil hij ook creditcard betalingen gaan accepteren. Uiteraard is het aan te bevelen om dit via een SSL verbinding te doen.

Er moet dus een SSL certificaat komen.

1 - Kan de klant deze zelf aanvragen? Of moet ik dat zelf doen
2 - Er moet voor deze klant dus een apart IP adres komen?
3 - Wat zijn goede partijen om een SSL certificaat aan te vragen?

Beste nopzolder,

1. De klant kan zelf zijn certificaat aanvragen. Je kunt het eventueel ook op zijn eigen naam aanvragen. Afhankelijk van de certificaat zal hij gebeld worden, of per mail of per voice computer benaderd worden om zijn identiteit te controleren (de duurdere certificaten maken zelfs gebruik van een passpoortkopie of kvk document).

Echter afhankelijk van je Controlpanel/Systeem moet jij het voor hem installeren of kan hij dit doen. Meestal is het makkelijker (en sneller and uitleggen) als je het zelf voor hem installeert.

2. Als de klant een eigen SSL certificaat gaat gebruiken dan moet hij zeker ene eigen aparte IP adress hebben. Anders kan je het niet installeren.

3. Er zijn veel aanbieders. Afhankelijk van de certificaat die je nodig heb en je budget zou je bij verschillende partijen kunnen die vanaf 40 euro tot 1200 euro leveren. Wij leveren ook SSL certificaten. Indien je interesse heb graag via het aanbodforum een aanvraag plaatsen of via de website. Je zult dan zeker een aantal aanbiedingen krijgen. De prijs bij SSL wordt bepaald door installatie ondersteuning de eerste keer (eenmal dat het werkt hoef je weinig te doen), compatibiliteitspercentage (hoeveel browsers ondersteunen het), beveligingsniveau(wordt de eigenaar per mail benaderd of wordt hij gebeld etc) en verzekering (voor hoeveel is de eigenaar verzerd indien er schade onstaat.

Met vriendelijke groeten,
Michael Ensermo
www.MKEweb.com

Je kan goedkoop terecht op www.ev1servers.net .

Ik zie dat ev1servers.net ook geotrust certificaten uitgeeft.
Zijn hier hosters die zelf een partner account bij geotrust hebben zodat je gebruik kunt maken van de api?

Wij gebruiken altijd http://www.globalsign.com/

wat je ook doet, een zogenaamd single root certificaat is erg aan te bevelen boven een chained root certificaat omdat deze veeeeel makkelijker zijn te installeren ondanks dat men zelf zegt van niet. single root certificaten zijn bijvoorbeeld ook te koop bij http://www.ssldirect.com

Ik lees op www.ssldirect.com dat geotrust wel trusted root certificates uit geeft, dus geen chained certificate.

Iemand nog tips, ideeen, goede ervaringen met bepaalde certificate auth.?

2. Als de klant een eigen SSL certificaat gaat gebruiken dan moet hij zeker ene eigen aparte IP adress hebben. Anders kan je het niet installeren.


Dit is niet perse nodig hoor. Kan ook op shared ip. (depending on you webserver)

Maargoed, andere optie is om zelf een certificate te maken (veel goedkoper en net zo veilig).

Maargoed, andere optie is om zelf een certificate te maken (veel goedkoper en net zo veilig).

Ja dat kan zeker.. maar je bent geen trusted root. Dus krijg je ook altijd waarschuwing vwb een beveiligde verbinding. Plus dat bij een trusted certificate er vaak ook een verzekerd bedrag bij in zit.

Maargoed, andere optie is om zelf een certificate te maken (veel goedkoper en net zo veilig).
Maar dan krijgen bezoekers wel een beveiligingswaarschuwing te zien (tenzij ze natuurlijk jou certificaat al aanvaard hebben). Dat gaat voor een admin pagina maar niet voor een webshop (naar mijn mening). Kwa veiligheid is er niet perse een verschil, al krijg je bij commerciële certificaten wel veel meer garanties (dat het echt om de juiste persoon gaat, ...)

1 - Kan de klant deze zelf aanvragen? Of moet ik dat zelf doen

De klant kan het certificaat zelf aanvragen.

2 - Er moet voor deze klant dus een apart IP adres komen?

Ja.

3 - Wat zijn goede partijen om een SSL certificaat aan te vragen?

DigiNotar is een goede en betrouwbare partij (zij hebben een eigen root).
Daarbij is het mogelijk om een face to face controle uit te laten voeren.

Aangezien het gaat om betalingen via een website, wil je waarschijnlijk met het certificaat "phishing" voorkomen. Misschien is het verstandig om de ontwikkelingen omtrent het "high assurance"
(zeer betrouwbaar) certificaat bij te houden. De nieuwe internet explorer geeft dan een groene balk weer als de bezoekers op de webshop met het certificaat komen.

3 - Wat zijn goede partijen om een SSL certificaat aan te vragen?

DigiNotar is een goede en betrouwbare partij (zij hebben een eigen root).
Daarbij is het mogelijk om een face to face controle uit te laten voeren.

En welke browser kent ze?

IMO veel beter om van bijv. verisign, thawte of een andere bekende club een certificaat af te nemen.

DigiNotar is een grote partij in Nederland. Samen met PinkRoccade en GemNet ingeschreven bij de Opta als certificatiedienstverlener. Zij zijn misschien geen bekende club bij de webhosters.

DigiNotar is een grote partij in Nederland. Samen met PinkRoccade en GemNet ingeschreven bij de Opta als certificatiedienstverlener. Zij zijn misschien geen bekende club bij de webhosters.
Niet boeiend, ik heb het over browsers niet over webhosters :). Het gaat erom of de browsers van klanten het certificaat zomaar slikt. Zo nee dan is het beter om daar geen certificaat van te nemen.

Een certificaat wat niet herkend wordt geeft een waarschuwing. Als je die toch krijg kan je net zo goed je eigen cert. ondertekenen.

https://www.diginotar.nl/ :(

Niet boeiend, ik heb het over browsers niet over webhosters :). Het gaat erom of de browsers van klanten het certificaat zomaar slikt. Zo nee dan is het beter om daar geen certificaat van te nemen.

Een certificaat wat niet herkend wordt geeft een waarschuwing. Als je die toch krijg kan je net zo goed je eigen cert. ondertekenen.

Ja, certificaat wordt in explorer geaccepteerd. Hoe het met Mozilla zit, durf ik niet te zeggen.

Zie voorbeeld: https://service.diginotar.nl/common.asp?id=371&instantie=0

https://www.diginotar.nl/ :(Dat krijg je dus met shared IP's voor SSL websites :)

Ik heb zelf wel goede ervaringen met GoDaddy, ze zijn lekker goedkoop en uiteindelijk werken ze toch allemaal hetzelfde :)

Dat krijg je dus met shared IP's voor SSL websites :)

Ik heb zelf wel goede ervaringen met GoDaddy, ze zijn lekker goedkoop en uiteindelijk werken ze toch allemaal hetzelfde :)
Thawte :)

SSL vereist een eigen IP.. alhoewel m$ stelt dat het met W2003 wel mogelijk is? Meen zoiets tenminste begrepen te hebben..

Thawte :)

SSL vereist een eigen IP.. alhoewel m$ stelt dat het met W2003 wel mogelijk is? Meen zoiets tenminste begrepen te hebben..Ja maar je kunt op poort 80 van hetzelfde IP als de SSL site wel 200 andere sites hebben draaien. Probleem is dan dat je met al die 200 websites een error krijgt als je er HTTPS voor zet :p

Ja, certificaat wordt in explorer geaccepteerd. Hoe het met Mozilla zit, durf ik niet te zeggen.

Zie voorbeeld: https://service.diginotar.nl/common.asp?id=371&instantie=0
Cybertrust Global Root.

Ja maar je kunt op poort 80 van hetzelfde IP als de SSL site wel 200 andere sites hebben draaien. Probleem is dan dat je met al die 200 websites een error krijgt als je er HTTPS voor zet :p

bullsh*t. Met virtual hosts heb je dit probleem niet hoor. Als er geen 443 is geconfigged voor de vhost, heb je te maken met jouw verhaal. echter als deze wel is geconfigged (met eigen certificate) is er NIKS aan de hand.

Ik host zelf ook diverse ssl sites op een shared IP zonder enig probleem. En ja iedere site heeft zijn eigen certificate.

Dat geneuzel voor een ded. IP, is uit de jaren negentig, toen was het nog niet mogelijk om ssl certificates op een shared ip te doen.

hoe zit het met 40-128-256 bits encryptie.
verisign geeft aan 40 bit voor 389 euro en 128 bits gegarandeerd voor 899 euro.
bij andere aanbieders zie ik weer staan.. wildcards met 256bits encryptie.. maar niks over gegarandeerde encryptie. (btw verisign levert geen wildcards :()
weet iemand hoe dat zit?

bullsh*t. Met virtual hosts heb je dit probleem niet hoor. Als er geen 443 is geconfigged voor de vhost, heb je te maken met jouw verhaal. echter als deze wel is geconfigged (met eigen certificate) is er NIKS aan de hand.

Ik host zelf ook diverse ssl sites op een shared IP zonder enig probleem. En ja iedere site heeft zijn eigen certificate.

Dat geneuzel voor een ded. IP, is uit de jaren negentig, toen was het nog niet mogelijk om ssl certificates op een shared ip te doen.

Ik dacht altijd dat de hostnaam bij een SSL verbinding ook encrypted naar de server werd verzonden en dat je daarom een apart ip nodig had. Of ben ik nu in de war ?


hoe zit het met 40-128-256 bits encryptie.
verisign geeft aan 40 bit voor 389 euro en 128 bits gegarandeerd voor 899 euro.
bij andere aanbieders zie ik weer staan.. wildcards met 256bits encryptie.. maar niks over gegarandeerde encryptie. (btw verisign levert geen wildcards :()
weet iemand hoe dat zit?

Wildcart certificaten zijn een stuk prijziger, zie bv ook: http://www.instantssl.com/

Gegarandeerde encryptie? Volgens mij is dat altijd het geval ?

Met TLS 1.0 is het niet mogelijk om hostnames mee te sturen met het request.
Met TLS 1.1 zou het wel mogelijk moeten worden.

Ber|Art edit: Je mag pas adverteren als je > 100 post hebt.

startcom geeft gratis certificaten weg.

http://cert.startcom.org/

Ze worden helaas alleen direct herkend in Opensource browsers.

Nog steeds in ieder geval beter dan een self signed certificate, en een betaald (*duur*) certificaat kan later nog aangeschaft worden.

InstantSSL ook voor 90 dagen: http://www.instantssl.com/ssl-certificate-products/free-ssl-certificate.html