Type SSL-certificaat

Koelreuteria
Pro Member
Pro Member
Berichten: 342
Lid geworden op: 25 Mei 2006
Bedankt: 4 keer
Uitgedeelde bedankjes: 22 keer

Type SSL-certificaat

Berichtdoor Koelreuteria » 01 Nov 2017, 15:35

Dag

Wat zou eigenlijk het beste SSL-certificaat zijn voor een website?
Je ziet veel "groene of grijze" slotjes, maar soms ook een domein- of firmanaam.
De prijsverschillen zijn toch om even over na te denken wat te kiezen:
https://www.combell.com/nl/ssl-certificaten
De "groene balk" SSL aanbevelen voor webshops, oké, maar zoiets is toch ook handig voor een "gewone" website zou ik zo denken?
En dan vraag ik mij nog iets af: veronderstel een eenpersoonsbedrijf: zijn die niet sterk beperkt in de mogelijkheden? 't Zie hun naam daar al staan omdat zij niet echt een firmanaam hebben...
Laat uw bedenkingen en suggesties maar komen! ;-)

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3092
Lid geworden op: 10 Mar 2010
Bedankt: 326 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 48 keer

Re: Type SSL-certificaat

Berichtdoor Splitter » 01 Nov 2017, 15:54

EV is wat luxe, maar geen kat dat er volgens mij op let...
en het is in het verleden al genoeg voorgekomen dat een geldige authoriteit valse certs uitgeeft (iirc is het ooit zelfs google overkomen).

gewoon een gratis cert van letsencrypt, meer heb je niet nodig (het is nog steeds zaak dat je website ook veilig is, inclusief de externe onderdelen, en niet gewoon https gebruiken)
binnenkort zelfs (eindlijk) wildcard certs bij LE.
ooit zal hier iets nuttigs staan

lanadekat
Premium Member
Premium Member
Berichten: 563
Lid geworden op: 23 Aug 2013
Bedankt: 44 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 21 keer

Re: Type SSL-certificaat

Berichtdoor lanadekat » 01 Nov 2017, 15:58

Als gebruiker:
Zolang het groene slotje er staat en de website voor de rest betrouwbaar lijkt maak ik me er geen probleem uit.
Ik heb het even opgezocht en Google.com, Youtube.com, ... hebben ook gewoon een groen slotje met "Secure" zonder een naam dus het is niet dat het standaard is voor alle grote, betrouwbare sites.

CCatalyst
Elite Poster
Elite Poster
Berichten: 974
Lid geworden op: 20 Jun 2016
Bedankt: 88 keer
Recent bedankt: 1 keer

Re: Type SSL-certificaat

Berichtdoor CCatalyst » 01 Nov 2017, 18:45

Iedereen kan een gratis DV krijgen bij Let's Encrypt. Zo was er een klein schandaaltje over het feit dat Let's Encrypt zonder morren DV's uitgeeft voor zaken als paypal-admin.com enzomeer.

Eenmaal je dat weet, let je wél op de EV balk.

Maar akkoord, dat gaat een sterke minderheid van de mensen zijn.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3092
Lid geworden op: 10 Mar 2010
Bedankt: 326 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 48 keer

Re: Type SSL-certificaat

Berichtdoor Splitter » 01 Nov 2017, 20:06

CCatalyst schreef:Iedereen kan een gratis DV krijgen bij Let's Encrypt. Zo was er een klein schandaaltje over het feit dat Let's Encrypt zonder morren DV's uitgeeft voor zaken als paypal-admin.com enzomeer.
Eenmaal je dat weet, let je wél op de EV balk.


dat betwijfel ik ten sterkste:
1) het is meermaals voorgevallen dat andere authorities foute certs uitgeven
2) het is eveneens gebeurd dat authorities certs hebben uitgegeven voor VALID domains aan bedriegende partijen
3) "paypal-admin"... dan heb je wel andere fouten gemaakt dan "wel of niet EV certificaat" als je daarin trapt
4) iedereen kan een DV krijgen bij élke authority, dat heeft maar weinig met het al dan niet gratis te maken
5) TS heeft het over gemiddeld gebruik (dus geen multinational met geld teveel) en dan is EV zelfs niet aan de orde

in THEORIE voegt EV "bewijs van identiteit" toe (coolblue heeft overigens een EV cert), maar in praktijk blijkt dat toch amper waarde te hebben.
het enige wat effectief zo is, is dat;
A) ALS de certificate authority niet gehackt is (is al gebeurd) EN
B) er geen mitm dmv valse certs is (is al gebeurd) EN
C) de betreffende site zelf niet gehackt is (is al gebeurd)
je er van kan uitgaan dat de site wel degelijk van het bedrijf is ACHTER de site (wat niet altijd een genaamde relatie met de site heeft).

het wil echter nog steeds niet zeggen dat je gegevens veilig zijn (een EV-validated domein kan nog altijd je paswoord in plaintext opslaan)

je hebt ruwweg 3 soorten mensen:

1) het soort dat weet wat ze aan het doen zijn (en dus op de url en de site letten, inclusief de domeinvalidatie)
2) het soort mensen dat gewoon overal op klikt en denkt "groen, das dus veilig"
3) en dan degene die gewoon niet weten wat ze doen en overal op klikken, inclusief het doorgeven van hun kaartgegevens e.d

en in geen van die 3 gevallen voegt EV iets toe bovenop DV.
(naar de houder van de site, daarentegen, wel: EV komt meestal met verzekeringen e.d. voor de domeinnaamhouder)
ooit zal hier iets nuttigs staan

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27246
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Type SSL-certificaat

Berichtdoor r2504 » 02 Nov 2017, 01:37

Splitter schreef:1) het soort dat weet wat ze aan het doen zijn (en dus op de url en de site letten, inclusief de domeinvalidatie)


In theorie moet je iedere keer op het slotje klikken en de ganse chain nakijken... maar dat doet niemand.

Zoals je zelf aangaf is er ondertussen al zoveel fout gelopen met root certificaten dat je nog moeilijk kan spreken van een sluitend systeem.

Koelreuteria
Pro Member
Pro Member
Berichten: 342
Lid geworden op: 25 Mei 2006
Bedankt: 4 keer
Uitgedeelde bedankjes: 22 keer

Re: Type SSL-certificaat

Berichtdoor Koelreuteria » 04 Nov 2017, 11:10

@Allen die hebben gereageerd: hartelijk dank voor jullie inzichten!
Zo zie je maar hoe verschillend iedereen naar die "s" kijkt in htpps://
'k Heb ook wat zoekwerk gedaan, en dan vooral naar "de groene" balk.
Opmerkelijk: weinig banken hebben het en dikwijls ook de grote firma's niet zoals iemand al opmerkte.
En dan moet je op het slotje klikken om de chain te openen, wat velen nalaten.
Dan is de groen balk toch iets in het voordeel denk ik: je ziet in één oogopslag waar je bent.
(In de veronderstelling dat de certificaten genuine zijn)
Hier mijn lijstje (zonder de bedoeling om volledig te zijn):
https://www.fastmail.com
https://twitter.com
https://www.kbc.be/
https://www.nagelmackers.be/nl
https://www.combell.com/nl/
https://www.hushmail.com
https://protonmail.com
https://tutanota.com/nl/
https://posteo.de/en
https://runbox.com

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3092
Lid geworden op: 10 Mar 2010
Bedankt: 326 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 48 keer

Re: Type SSL-certificaat

Berichtdoor Splitter » 04 Nov 2017, 11:37

Koelreuteria schreef:Opmerkelijk: weinig banken hebben het en dikwijls ook de grote firma's niet zoals iemand al opmerkte.
En dan moet je op het slotje klikken om de chain te openen, wat velen nalaten.
Dan is de groen balk toch iets in het voordeel denk ik: je ziet in één oogopslag waar je bent.


welke bank heeft dan geen EV? dat zijn net de meest logische gebruikers van EV certificaten.
en je ziet niet echt in 1 oogopslag waar je bent, je ziet gewoon de naam van het bedrijf erachter.
(ook een malafide bedrijf, kan een EV certificaat krijgen hoor, je moet gewoon een domeinnaam en een btw nr hebben)
en het verschil, ik weet nu niet hoe het zit met andere browsers, maar in bv firefox, kijk ik gewoon of het slotje er is, en dat vind ik even makkelijk te zien als een groene balk (ik moet toch in die richting kijken ervoor, en je kan nog steeds een EV cert hebben en toch http sources laden, en dan is je certificaat weer niets meer waard.)

again: EV heeft meer praktisch nut voor het bedrijf zelf dan voor de gebruiker, maar dan vooral voor grote bedrijven (verzekeringen).
Alsook, volgens mij kan je in de meeste browsers een malafide extensie induwen dat die EV ineens verdwijnt of gefaked kan worden.

om nog maar te zwijgen van het prijsverschil: 0 euro (dv, met wildcard vanaf januari, via letsencrypt) vs makkelijk 200 euro (zonder wildcard)
ooit zal hier iets nuttigs staan

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15585
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 506 keer
Uitgedeelde bedankjes: 443 keer
Contact:

Re: Type SSL-certificaat

Berichtdoor meon » 04 Nov 2017, 13:47

Bij een klant (medische sector, EMEA gebied) om een Extended Validation-certificaat te krijgen bij Comodo zijn we een maand bezig geweest waarbij telefonisch contact was, er documenten en identiteitspapieren moesten worden doorgefaxt eer het in orde kwam. Het domain-validation stuk hebben we kunnen doen door specifieke CNAME-records te maken in DNS die pointen naar een validatieservice van hen. Al bij al was het behoorlijk 'cumbersome' om 't geregeld te krijgen.

CCatalyst
Elite Poster
Elite Poster
Berichten: 974
Lid geworden op: 20 Jun 2016
Bedankt: 88 keer
Recent bedankt: 1 keer

Re: Type SSL-certificaat

Berichtdoor CCatalyst » 04 Nov 2017, 15:32

Jep, daarom dus dat ik EV's hoger acht dan DV's en ik daar wel op let. De kostprijs enerzijds en al de rompslomp die erbij komt kijken maakt dat die EV's toch niet voor iedereen weggelegd zijn.

Maar soit, mijn argument komt uiteraard te vervallen de dag dat EV's aan marginale kost en bijgevolg met marginale controle's gaan verkocht worden en die dag komt zeker. Dan zal de markt wel weer reageren met de creatie van EV+ of zoiets :roll: .

johcla
Elite Poster
Elite Poster
Berichten: 2179
Lid geworden op: 23 Mar 2009
Bedankt: 126 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 563 keer

Re: Type SSL-certificaat

Berichtdoor johcla » 04 Nov 2017, 15:49

Marginale kost is er al wel: vanaf 68 EUR per jaar (https://www.gogetssl.com/extended-validation/), voor een bedrijf of hacker is dat peanuts.
Marginale controle zal er niet gauw komen: als die controles gemakkelijk omzeild kunnen worden, zal Microsoft enz. die CA meteen verwijderen uit hun trusted store en dan is het gedaan met die CA.

Zelf heb ik Letsencrypt gebruikt, maar op mijn NAS gebeurde de automatische vernieuwing na 3 maand niet altijd. Dus ben ik daar weer overgestapt naar een gewone CA, prijs was zo'n 12 EUR voor 3 jaar.

Doktor Avalanche
Premium Member
Premium Member
Berichten: 598
Lid geworden op: 21 Dec 2010
Locatie: Oostmalle
Bedankt: 69 keer
Uitgedeelde bedankjes: 93 keer
Contact:

Re: Type SSL-certificaat

Berichtdoor Doktor Avalanche » 05 Nov 2017, 00:07

Je moet eens een bij comodo een code signing certificate proberen te verkrijgen als prive persoon. Wat was dat ;-)
Zelfs tot bij een notaris moeten gaan om documenten te laten ondertekenen, en die zij dan moesten doorfaxen.
Comodo belt dan uw notaris op, etc,etc etc. Ben er al bij al 6 maanden met bezig geweest ;-), Maar heb nu een certifcaat voor 5 jaar...
"The Internet is allergic to truth, reason and humour."


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 3 gasten