PDA

Bekijk Volledige Versie : SSL certificaten, hoe belangrijk vinden jullie het?



Trafego
08/01/08, 19:19
Hier ben ik wel eens benieuwd naar,

Ik ben van mening dat klantengegevens goed en vooral veilig bewaard moeten blijven. Veel hosters en webdesigners hebben een database online..

Hoe belangrijk vinden jullie de beveiliging hiervan?
Ik zie vaak omgevingen niet eens met een fatsoenlijke md5 hash beveiligd namelijk..

webshops idem dito, 90+% niet beveilgd (van de 6000+)
Vond het toch wel iets om even bij stil te staan,. Het word echter snel vergeten, of onhaalbaar door kennis gebrek, geen eigen IP ter beschikking (shared hosting)

Mijn persoonlijke mening: Ja dit moet beveiligd zijn (ik heb vandaag daarom ook de SSL certificaten aangevraagd)

nu jullie mening, vooral waarom wel en waarom niet..

blaaat
08/01/08, 20:48
Mij lijken andere problemen veel belangrijker, fouten/lekken in scripts op websites enzo.
De kans dat zo'n verbinding wordt afgetapt lijkt mij in het niet vallen bij de hoeveelheid bugs in de website zelf. Als je met creditcard gegevens aan de slag gaat is SSL natuurlijk wel handig / verplicht.

nielsrenselaar
08/01/08, 21:21
Vroeger was dit veel relevanter, niet dat het risico weg is, maar wat is tegenwoordig nog de kans dat je gegevens afgetapt wordt als je aan het webshoppen bent? Naast dat de meeste gegevens niet echt inhoud hebben voor iemand die aftapt (wat heeft hij of zij er aan als ik mijn boodschappen bestel via internet via een onbeveiligde verbinding?).

Voor banken vind ik het een vereiste, vooral met de phising mogelijkheden e.d. vind ik het een goed kenmerk voor de gebruiker om het te herkennen dat het een veilige pagina is. (neemt niet weg dat ze zelf ook de url e.d. moeten controleren).

Wij adviseren het al onze klanten wel, maar moet toegeven dat wij zelf ook nog geen SSL certificaat hebben aangeschaft, dat ga ik nog wel even doen want je moet natuurlijk wel het goede voorbeeld geven.

Maar goed, ik vind dat het grote gevaar in slechte systemen zit, dan in het aftappen van de verbinding waar eventuele gegevens uit gehaald kunnen worden

KDISS
08/01/08, 22:54
het certificaat dat de server zelf aanmaakt kan je ook accepteren waarna encryptie toegepast kan worden, het verschil zit hem in de Authority (SA was het toch?) die hardcoded in je browser staat in een trusted lijst. En in die lijst staat je server echt niet en dus krijg je daar een berichtje over, en dat is voor grotere partijen slordig, maar ach...

systemdeveloper
08/01/08, 23:32
Maar goed, ik vind dat het grote gevaar in slechte systemen zit, dan in het aftappen van de verbinding waar eventuele gegevens uit gehaald kunnen worden
Hahaha, you wish :)

Elke beheerder en/of stagiare die ergens tussen een hop van jouw pc naar de website zit... kan zonder problemen je gegevens sniffen als je geen ssl gebruikt. Of die mensen daar ook misbruik van maken is een totaal andere vraag natuurlijk, maar het is open-en-bloot. Het ontvreemden van data is hierbij dus niet beheersbaar.

Een security bug op een website is ook niet fris natuurlijk, echter daar kan je als programmeur iets aan doen, misbruik wordt vaak gelogged, het IDS laat belletjes afgaan etc... Dit is wel beheersbaar dus.

Dus eigenlijk moet je altijd ssl gebruiken, maar dat is niet bepaald efficient. Beste is om het te gebruiken bij logins en verder alle geautoriseerde pagina's.

Xolphin
08/01/08, 23:33
Ik denk niet dat de vraag juist is, ik denk dat je beter kunt vragen of een beveiligde verbinding belangrijk gevonden wordt. Op het moment dat je een beveiligde verbinding belangrijk vind, dan is een SSL certificaat bijna een vereiste, omdat Internet Explorer 7 tegenwoordig zeer moeilijk doet over zelf ondertekende certificaten.

Daarnaast gaat het er ook om wat je klanten belangrijk vinden. Mensen zijn gelukkig steeds meer bewust van beveiligde verbindingen, en er zijn hoop ik nog maar weinig mensen die creditcard gegevens invullen op websites zonder beveiligde verbinding / SSL certificaat.

Voor de kosten hoef je het mijn inziens niet te laten, tegenwoordig kosten SSL certificaten maar een fractie van wat ze vroeger hebben gekost. Voor een paar tientjes per jaar heb je je website zonder foutmeldingen al met een certificaat beveiligd.

Elke fatsoenlijke hoster heeft voor een paar euro per jaar een IP adres voor een certificaat beschikbaar, dat lijkt mij geen reden om geen certificaat te nemen.

Als je meerdere certificaten per jaar nodig hebt, dan zijn er bij elke leverancier wel kortingen bespreekbaar. Uiteraard ook bij ons *hint, hint* :).

BertvArkel
09/01/08, 09:26
natuurlijk is het belangrijk dat data goed beveiligd is wij gebruiken voor 2 klanten EV Certificaten (van www.evssl.nl) die werken prima en men weet ook gelijk dat het goed zit met de groenebalk in bijv. IE7.

INEXPro
09/01/08, 10:36
webshops idem dito, 90+% niet beveilgd (van de 6000+)
Vond het toch wel iets om even bij stil te staan,. Het word echter snel vergeten, of onhaalbaar door kennis gebrek, geen eigen IP ter beschikking (shared hosting)


Vooral bij electronica webwinkels (lees IT) vind ik het zonde dat er geen gebruik wordt gemaakt van ssl beveiliging.

Daarnaast denk ik echter dat je niet gaat zoeken naar een aanbieder die toevallig een beveiligde site heeft.

bvankuik
09/01/08, 14:38
Ik ga met de anderen mee; MD5 en certificaten zijn belangrijk maar komen qua prioriteit minder hoog dan scripting security.

Gerucht: google op "klant login" en in de eerste 20 resultaten heb je een lek te pakken (d.w.z. een password als

' or 1=1 or 'a'='

laat je naar binnen als de eerste willekeurige klant.

chielsen
10/01/08, 05:55
Als security zo hoog staat moet je in ieder geval geen md5 gebruiken, gebruik dan ten minste sha1 (of beter). Bij md5 kan al redelijk simpel gekeken worden wat mogelijke sources zijn, ook zoeken in google doet het goed.

Kenneth
10/01/08, 14:08
Als security zo hoog staat moet je in ieder geval geen md5 gebruiken, gebruik dan ten minste sha1 (of beter). Bij md5 kan al redelijk simpel gekeken worden wat mogelijke sources zijn, ook zoeken in google doet het goed.

of gewoon iets als in:

md5("randomcrap" . $pw);

dat kun je niet zomaar terug google :).. al hebben klanten zwak password (alleen als je de random crap verliest - is je password database beetje 'corrupt'

Trafego
10/01/08, 14:14
beveiliging heb je in vele maten en soorten en zeker zul je zelf ook de nodige voorzieningen moeten aanbrengen zoals en md5 bijvoorbeeld,

Doch vind ik zelf wel een meerwaarde geven als ik zie dat een omgeving waar mijn gegevens in aanwezig zijn + bijvoorbeeld facturen geschiedenis (denk aan webshops) dat deze beveiligd is.

Er zijn o.a bijvoorbeeld mega veel oscommercen online en xx wegen om erin te komen.. daar zal ik dus niet snel een bestelling plaatsen

Xolphin
10/01/08, 14:40
of gewoon iets als in:

md5("randomcrap" . $pw);

dat kun je niet zomaar terug google :).. al hebben klanten zwak password (alleen als je de random crap verliest - is je password database beetje 'corrupt'

MD5 is voor normaal gebruik veilig genoeg denk ik, een heel stuk veiliger dan het ongecodeerd opslaan van wachtwoorden in ieder geval. Iemand die een wachtwoord gebruikt waarvan de hash in Google staat gebruikt simpelweg geen goed wachtwoord.

MD5 is alleen niet absoluut veilig, het beste kun je SHA-1 gebruiken. De Wikipedia pagina van MD5 legt uit waarom dat zo is:

http://en.wikipedia.org/wiki/MD5

Maar het ging over het nut van SSL, niet om MD5. Als we het hier verder over gaan hebben denk ik dat het een nieuw topic op zijn plaats is :).

Serveo
11/01/08, 01:18
Graag wil ik reageren over het feit dat je als je een shared hosting accounts hebt geen ssl kan hebben. Ik kwam er al een tijd geleden achter dat je simpelweg eigelijk iedereen op de gehele server een gedeelde ssl sleutel kunt laten gebruiken.

Of zitten hier ook haken en ogen aan?

Xolphin
11/01/08, 12:19
Graag wil ik reageren over het feit dat je als je een shared hosting accounts hebt geen ssl kan hebben. Ik kwam er al een tijd geleden achter dat je simpelweg eigelijk iedereen op de gehele server een gedeelde ssl sleutel kunt laten gebruiken.

Of zitten hier ook haken en ogen aan?

Een multi-domeinnaam certificaat waar je het volgens mij over hebt, kan inderdaad meerdere domeinnamen bevatten. Hat nadeel is dat als je de bedrijfsgegevens in het certificaat wilt hebben (en je klanten zien dit ook, dus dat is wel aan te raden), dat dan de domeinnaamhouder van alle domeinen gelijk moet zijn. Een ander nadeel is dat het certificaat later niet meer aan te passen is, je kunt niet na een maand nog een domeinnaam toevoegen, enkele weer een heel nieuw certificaat aanvragen. Als het verschillende klanten zijn is een los SSL certificaat een stuk makkelijker. IP adressen zou je zonder problemen van je upstream provider moeten kunnen krijgen.

Serveo
11/01/08, 12:37
Een multi-domeinnaam certificaat waar je het volgens mij over hebt, kan inderdaad meerdere domeinnamen bevatten. Hat nadeel is dat als je de bedrijfsgegevens in het certificaat wilt hebben (en je klanten zien dit ook, dus dat is wel aan te raden), dat dan de domeinnaamhouder van alle domeinen gelijk moet zijn. Een ander nadeel is dat het certificaat later niet meer aan te passen is, je kunt niet na een maand nog een domeinnaam toevoegen, enkele weer een heel nieuw certificaat aanvragen. Als het verschillende klanten zijn is een los SSL certificaat een stuk makkelijker. IP adressen zou je zonder problemen van je upstream provider moeten kunnen krijgen.

Ok dus het is niet mogelijk een ssl licentie te delen met alle users op een servers?

(meerdere eigenaren)

Xolphin
11/01/08, 13:26
Ok dus het is niet mogelijk een ssl licentie te delen met alle users op een servers?
(meerdere eigenaren)

Het kan in principe wel, maar alleen voor een certificaat zonder bedrijfsgegevens. Het heeft echter wel wat nadelen, zoals dat het bijvoorbeeld onmogelijk is om domeinen later toe te voegen.

w3rd
11/01/08, 13:57
Een SSL certificaat zal zeker meehelpen aan de uitstraling die je overbrengt en het vertrouwen van de klant, vooral de "groene balk certificaten". En een beveiligde verbinding, wie vind dat nou niet fijner? :)

Verder kost het relatief gezien bijna niets en kun je dit via een partij als Xolphin snel geregeld hebben.
Als je van plan bent een SSL Certificaat te nemen, zou ik je Xolphin aanraden, dit is een prima partij.

Triloxigen
11/01/08, 18:20
Een SSL certificaat zal zeker meehelpen aan de uitstraling die je overbrengt en het vertrouwen van de klant, vooral de "groene balk certificaten". En een beveiligde verbinding, wie vind dat nou niet fijner? :)

Dat is mij de laatste jaren een beetje gaan tegenstaan van SSL certificaten.
Het begint met name een marketing truuk te worden dan echt iets functioneels..

Leuk die bedrijfsgegevens erin, maar die worden vaak gebaseerd op het domeinnaam en iedereen hier weet wel dat daar geen controle op is.
Daarnaast nog eens dat eigenlijk geen bezoeker het controlleert op wie z'n naam het staat...

Xolphin
11/01/08, 18:59
Leuk die bedrijfsgegevens erin, maar die worden vaak gebaseerd op het domeinnaam en iedereen hier weet wel dat daar geen controle op is.

Bij ons worden zowel de WHOIS gegevens, de gegevens bij de Kamer van Koophandel en het aanvraagformulier gecontroleerd welke op briefpapier afgedrukt moet worden. Alles is te vervalsen uiteraard, bij de nieuwe Extended Validation certificaten is daarom de validatie nog strenger.


Daarnaast nog eens dat eigenlijk geen bezoeker het controlleert op wie z'n naam het staat...

Helemaal mee eens. Bij Internet Explorer 7 zie je de bedrijfsnaam wel direct in de adresbalk staan, dus is het wel wat opvallender. Maar zelfs dan kijken er een hoop mensen niet naar.

eszet
11/01/08, 19:48
Ok dus het is niet mogelijk een ssl licentie te delen met alle users op een servers?
Als je een SSL op het hoofd IP van je server installeert kunnen alle shared klanten wel van de SSL gebruikmaken in de vorm https://servernaam.domein.ext/~gebruikersnaam/
Ze krijgen dan een certificate warning dat de domeinnaam niet overeenkomt en lijkt me verder ook niet echt nuttig in deze vorm.

Shared hosting klanten kunnen natuurlijk wel hun eigen SSL krijgen mits ze een dedicated IP adres hebben op de server.

Ingvald
11/01/08, 20:15
Als je een SSL op het hoofd IP van je server installeert kunnen alle shared klanten wel van de SSL gebruikmaken in de vorm https://servernaam.domein.ext/~gebruikersnaam/
Ze krijgen dan een certificate warning dat de domeinnaam niet overeenkomt en lijkt me verder ook niet echt nuttig in deze vorm.

Shared hosting klanten kunnen natuurlijk wel hun eigen SSL krijgen mits ze een dedicated IP adres hebben op de server.
Wij bieden ook Shared SSL aan aan onze klanten. We hebben dan een generiek domein bv https://secure.example.org, en onze klanten kunnen dan bv https://secure.example.org/mijnsubmap koppelen naar de folder mijnsubmap in hun home directory.

Dus in dit geval wordt er 1 generiek SSL domein gemaakt waaraan users een submap kunnen koppelen. Ze hoeven dus niet extra te betalen voor een eigen IP + SSL certificaat, maar kunnen wel gebruikmaken van de voordelen. En het certificaat wordt ook gewoon geaccepteerd door alle browsers aangezien het SSL certificaat aan 1 domein gekoppeld is.

Triloxigen
11/01/08, 20:22
Bij ons worden zowel de WHOIS gegevens, de gegevens bij de Kamer van Koophandel en het aanvraagformulier gecontroleerd welke op briefpapier afgedrukt moet worden. Alles is te vervalsen uiteraard, bij de nieuwe Extended Validation certificaten is daarom de validatie nog strenger.

Helemaal mee eens. Bij Internet Explorer 7 zie je de bedrijfsnaam wel direct in de adresbalk staan, dus is het wel wat opvallender. Maar zelfs dan kijken er een hoop mensen niet naar.

Maar nagenoeg bijna nergens word dat echt gecontroleerd.
Dus iedereen kan op iedereens naam eigenlijk een SSL certificaat aanvragen..

De reden dat ik mensen SSL certificaten aanraad is vanwege de melding, niet vanwege de garanties..

Ingvald
11/01/08, 20:26
De reden dat ik mensen SSL certificaten aanraad is vanwege de melding, niet vanwege de garanties..
De belangrijkste reden om een SSL certificaat te gebruiken is toch wel dat de gegevens die verstuurd worden versleuteld worden?

En verder, hoe meer geld je er voor neertelt, des te groter de garantie dat de gegevens die aan het certificaat gelinkt, zijn ook legitiem zijn.

Triloxigen
11/01/08, 20:45
De belangrijkste reden om een SSL certificaat te gebruiken is toch wel dat de gegevens die verstuurd worden versleuteld worden?

En verder, hoe meer geld je er voor neertelt, des te groter de garantie dat de gegevens die aan het certificaat gelinkt, zijn ook legitiem zijn.

nee, dat je geen melding krijgt.
Een zelf uitgegeven certificaat versleutelt de verbinding ook...


En gezien de bezoekers niet weten wat je ervoor betaald, maakt het weinig uit.
Juist bij goedkope certificaten kun je de gegevens invullen die je wilt dus dat maakt het ook niet onderscheidend.

eszet
11/01/08, 21:39
De meeste alledaagse bezoekers zijn volgens mij allang tevreden als ze de https in de adresbalk en het slotje in de statusbalk zien, én geen - voor hen verwarrende - meldingen te zien krijgen zoals bij een selfsigned certificaat.

Ingvald
11/01/08, 22:31
nee, dat je geen melding krijgt.
Een zelf uitgegeven certificaat versleutelt de verbinding ook...

Dat zeg ik toch? Of je het nu op je eigen server genereert of er eentje aankoopt van $1000.


En gezien de bezoekers niet weten wat je ervoor betaald, maakt het weinig uit.
Juist bij goedkope certificaten kun je de gegevens invullen die je wilt dus dat maakt het ook niet onderscheidend.
Zei ik toch ook? Hoe duurder, hoe groter de zekerheid dat degene die zegt wij hij is ook daadwerkelijk diegene is.

w3rd
12/01/08, 00:53
Dat is mij de laatste jaren een beetje gaan tegenstaan van SSL certificaten.
Het begint met name een marketing truuk te worden dan echt iets functioneels..


Het lijkt er inderdaad op dat het vooral wordt toegepast als marketing foefje, maar hier zit wel het voordeel aan dat een SSL Certificaat zelfs voor de onwetende gebruiker wordt gezien als een normale standaard om te hebben bij webshops en andere website's waarbij privegegevens worden verstuurd. Dit werkt wel mee aan de veiligheid en hier is naar mijn idee niets mis mee.

Xolphin
12/01/08, 01:24
Maar nagenoeg bijna nergens word dat echt gecontroleerd.
Dus iedereen kan op iedereens naam eigenlijk een SSL certificaat aanvragen..

De reden dat ik mensen SSL certificaten aanraad is vanwege de melding, niet vanwege de garanties..

We zijn toch elke dag geruime tijd bezig met het controleren van de gegevens hoor. Ik weet uit ervaring dat de aanvragen bij onze leveranciers (Thawte, Comodo en Verisign) zeer grondig worden gecontroleerd als er bedrijfsgegevens in het certificaat moeten komen. De doorlooptijd bij Verisign is soms enkele dagen, waarin ze de meest rare dingen opgestuurd willen hebben. Het zal uiteraard vast wel een keer fout gaan, fraude met whois, kvk en documenten is immers niet heel lastig, maar over het algemeen kun je er wel vanuit gaan dat de gegevens in het certificaat correct zijn. Leveranciers van certificaten bieden niet voor niets garantie aan de eindgebruikers. Als je als eindgebruiker van bijvoorbeeld een bank schade loopt doordat het certificaat onterecht aan een vervalser is uitgegeven, krijg je deze schade met een maximum van het garantiebedrag vergoed door de certificaat leverancier. Voorwaarden en dergelijke kunnen wel verschillen, maar in principe is de garantie juist hier voor bedoeld.

Helaas doet niemand het, maar het loont als eindgebruiker dus de moeite om te kijken wie het certificaat heeft uitgegeven en wat voor garantiebedrag er aan het certificaat vast hangt.

Certificaten hebben twee verschillende doelen, het beveiligen van de verbinding, en het vaststellen van de identiteit van een website. Het beveiligen van de verbinding kan met een self-signed certificaat uiteraard ook inderdaad, alleen geeft deze wel een foutmelding in de browser.

Overigens hoeft een goedkoper certificaat niet per se slechter te zijn. Wat maar weinig mensen weten is dat Thawte tegenwoordig onderdeel is van Verisign, de aanvragen worden door dezelfde afdeling gecontroleerd. Een Thawte certificaat is echter wel een stuk goedkoper, alleen maar vanwege de naam. Bij onze goedkoopste certificaten met bedrijfsgegevens welke maar een paar tientjes kosten vindt dezelfde validatie ook al plaats.

Triloxigen: Ik kan je geen PM's sturen omdat je Inbox vol zit...