Certificaten Bangmakerij ?

Lijkt mij onzin.

[ Voor 54% gewijzigd door CyBeR op 05-08-2007 11:36 ]

IE7 geeft wel een waarschuwing met het advies niet door te gaan. Voor onwetende gebruikers misschien niet handig. Hoe FF3 het aanpakt weet ik niet maar waarschijnlijk ook zoiets.

FF3 idem.. hangt natuurlijk van je 'type' business af. Intern kun je je eigen cert. gewoon trusten op centraal niveau. Extern wordt het wat meer werk als je geen 'foutmelding' wil hebben.
Aan de andere kant, een certificaat is niet duur, en een 'geldige' is wel zo netjes.

Yep, in Vista hebben ze het zo gemaakt dat als je in IE7 een zelf ondertekende certificaat tegenkomt je juist op iets van "Nee, ik wil doorgaan" moet klikken inplaats van op "ja". Dus klanten hebben er inderdaad last van dat je een zelf ondertekend certificaat hebt.

Het is ook onzin om zelfondertekende certificaten te gebruiken als je voor een paar 100 euro al trusted kan krijgen ...

djexplo schreef op zondag 05 augustus 2007 @ 11:47:
Yep, in Vista hebben ze het zo gemaakt dat als je in IE7 een zelf ondertekende certificaat tegenkomt je juist op iets van "Nee, ik wil doorgaan" moet klikken inplaats van op "ja". Dus klanten hebben er inderdaad last van dat je een zelf ondertekend certificaat hebt.

Het is ook onzin om zelfondertekende certificaten te gebruiken als je voor een 100 euro al trusted kan krijgen ...

ssl.nu (is networking4all) heeft ze al voor 30€ per jaar.. voor 100€ heb je er een voor 5 jaar.

DukeBox schreef op zondag 05 augustus 2007 @ 11:52:
[...]
ssl.nu (is networking4all) heeft ze al voor 30€ per jaar.. voor 100€ heb je er een voor 5 jaar.

Dat is wel erg weinig, bij Verisign is één jaar 10x zo prijzig ...

Dat ziet er allemaal best ok uit, inderdaad. Jammer van de vele spelfouten op die site. Maar als ik een keer een certificaat nodig heb zal ik het eens proberen bij ze.

Ik heb er ook over zitten denken, maar aangezien ik maar een paar klanten heb via ssk, heb ik hen gewoon mijn selfsigned CA gestuurd via mail. Als zij deze importeren krijgen ze die security melding niet meer.

Als ik met Google even zoek,
kom ik via een gesponsorde koppeling bij http://www.sslcertificaten.nl/ uit.
Deze heeft dus allerlei certificaten vanaf 20 tot 450 euro. Afhankelijk van het type.

Volgens mij zijn dus die certificaten van ssl.nu niet zo geavanceerd als het € 450,-- certificaat van deze site.

ssl.nu bied dezelfde mogelijkheden (maar dan voor maar 139€)
Daarnaast, de mogelijkheden van een cert. zitten in de ondersteunde encryptie methodes. Als je een full signed CA hebt kun je er mee doen wat je wilt, onafhankelijk waar je het certificaat verkregen hebt.

't gaat bij dit soort dingen eigenlijk alleen om twee dingen:

- browser compatibiliteit
- betrouwbaarheid

functioneel zijn ze namelijk allemaal wel redelijk gelijk. (dwz, de ene kan mischien betere encryptie dan de andere maar afgezien daarvan werken ze allemaal wel.)

Maar sommige van die 'nieuwe' CA's zitten niet in de vorige versies van alle browsers. Dus bijvoorbeeld iemand die nog met IE5.5 surft zal dan nog altijd een warning krijgen. En als de uitgevende instantie niet goed controleert of jij wel bent wie je zegt dat je bent, zijn hun certificaten ook niet echt veel waard. Beide problemen heb je niet als je met een van de 'established' CA's in zee gaat, zoals bijvoorbeeld Verisign en Thawte. Die zijn alleen wel wat duurder.

GoDaddy.com is ook erg goedkoop. 34 Dollar voor 2 jaar.

CyBeR schreef op zondag 05 augustus 2007 @ 16:22:
Maar sommige van die 'nieuwe' CA's zitten niet in de vorige versies van alle browsers. Dus bijvoorbeeld iemand die nog met IE5.5 surft zal dan nog altijd een warning krijgen.

Via windows update krijg je altijd een update van de root certificates. Buiten dat bijna niemand meer met <6 werkt, zal maar een hele kleine groep de <5 gebruikers ook nog met verouderde root cert. werken.
Daarnaast, ook de verisign en andere 'established' moeten regelmatig hun CA vernieuwen, die zijn ook maar beperkt geldig.

En als de uitgevende instantie niet goed controleert of jij wel bent wie je zegt dat je bent, zijn hun certificaten ook niet echt veel waard.

Ik ken geen enkele SSL certifier die zijn goede naam 'verkoopt' door slechte controle uit te voeren.
Één fout, en je kan je toko opdoeken.. dus nee, dat lijkt me stug.

De certificaten zijn gemaakt voor 2 redenen:

Reden 1: Om de beveiliging van de verbinding te waarborgen via RSA

Reden 2: Om de identiteit van de server te waarborgen via een digitale handtekening (eveneens via RSA)

Wanneer je een certificaat nodig hebt vanwege reden 2 of reden 1 en 2 tegelijk dan moet je er een aanschaffen (ipv zelf signen), daar is nu eenmaal niet onderuit te komen, een self signed certificaat geeft de gebruiker geen zekerheid over de identiteit.

Echter heb je em alleen maar nodig vanwege reden 1, bijvoorbeeld voor een simpele webmail client, een beheersysteem oid dan is het prima om een self-signed certificaat te gebruiken. Het is natuurlijk beter om een certificaat te kopen maar om nu voor iedere scheet een certificaat te kopen is ook niet zo praktisch (en dat loopt toch flink in de kosten).

Het is dus jammer maar op zich wel logisch dat IE7 en FF3 zo streng zijn mbt self signed certificaten, bij IE7 denk je echt dat de wereld vergaat en zou je het liefste de PC uitzetten om het simpel te zeggen.

Het is voor gebruikers dan ook niet duidelijk dat met een self-signed certificaat de verbinding evengoed beveiligd is als met een gekocht certificaat. Om deze reden gaan veel bedrijven nu alsnog certificaten aanschaffen waar ze dat eerder niet deden.

Er zou op zich best wel eens een update van HTTPS mogen komen waarbij er duidelijk een verschil wordt gemaakt tussen certificaten alleen gebruikt voor reden 1 en expliciet niet voor reden 2. Op die manier kunnen browsers beter de gebruikers informeren en is de aanschaf van veel (veel te dure) certificaten niet nodig.

Reden 2 heb je voor 100€ per 5 jaar opgelost.. zo duur vind ik dat niet. (20€ per jaar).

DukeBox schreef op zondag 05 augustus 2007 @ 19:41:
Reden 2 heb je voor 100€ per 5 jaar opgelost.. zo duur vind ik dat niet. (20€ per jaar).

Tjah per certificaat, er zijn mensen (ik ken er een flink aantal) die op een hoop verschillende locaties en bij een hoop verschillende systemen HTTPS inzetten, dat betekent dan dus een hoop extra vaste kosten zonder dat het eigenlijk iets toevoegt (daar waar het wordt ingezet puur voor reden 1).

Dergelijke certificaten zijn dan inderdaad ook niet voor je vaste klanten. Die kun je best een self-signed certificaat sturen dat ze kunnen importeren, en dan ben je klaar. Voor bijvoorbeeld banksystemen, overheidswebsites, betalingssystemen en webshops is het natuurlijk van groot belang dat de certificaten gewoon worden geaccepteerd omdat ze door een vertrouwd bedrijf als VeriSign zijn uitgegeven. En juist díe certificaten zijn stervensduur, en daarom zijn zaken als ssl.nu mooie oplossingen voor het MKB. Maar banken, overheidsinstellingen en dergelijke kunnen het best bij VeriSign terecht, vind ik.

Zeker, maar dan heb je het dus over reden 2, oftewel zekerheid over de identificaat van de partij waarmee je communiceert.

Zodra je een situatie hebt waarbij alleen reden 1 nodig is (en dat zijn zeer veel situaties) dan heb je dus helemaal geen betaald certificaat nodig, maar zitten de gebruikers nu wel met doom waarschuwingen. Dat is een beetje het probleem

Banken, overheidsinstellingen etc kunnen maar beter zorgen dat ze een fatsoenlijk certificaat kopen, maar AFAIK doen ze dat ook al jaren dus daarvoor is het niet echt van toepassing.

Een 'doom' scenario dat je oplost voor 20€ per jaar.. wat (Zeker in IT normen) een lachertje is..

DukeBox schreef op maandag 06 augustus 2007 @ 00:04:
Een 'doom' scenario dat je oplost voor 20€ per jaar.. wat (Zeker in IT normen) een lachertje is..

Het is geen doom scenario, de gebruikers krijgen doom waarschuwingen terwijl er eigenlijk niets aan de hand is.

En zeker in IT normen is het niet echt gunstig voor de economie als er vaste kosten posten bij komen voor iets wat handig voorkomen had kunnen worden. (Reken maar eens hoeveel certificaten alle Nederlandse bedrijven dan zouden moeten inkopen om het overal goed te regelen, en dat dan op jaarbasis als extra drain aan de Nederlandse economie / boost aan de Amerikaanse economie)

DukeBox schreef op zondag 05 augustus 2007 @ 18:14:
[...]

Via windows update krijg je altijd een update van de root certificates. Buiten dat bijna niemand meer met <6 werkt, zal maar een hele kleine groep de <5 gebruikers ook nog met verouderde root cert. werken.
Daarnaast, ook de verisign en andere 'established' moeten regelmatig hun CA vernieuwen, die zijn ook maar beperkt geldig.

Mja, dat geldt voor windows/IE maar niet persee voor alle andere combinaties OS/Browser.

En de meeste CA certs zijn enkele tientallen jaren geldig. Dat verversen hoeft dus niet heel regelmatig. Die van Verisign zijn allemaal tot 2036 geldig.

Ik ken geen enkele SSL certifier die zijn goede naam 'verkoopt' door slechte controle uit te voeren.
Één fout, en je kan je toko opdoeken.. dus nee, dat lijkt me stug.

Nou ja om precies te zijn, zelfs binnen een organisatie kun je verschillende niveaus krijgen van controle. Thawte verkoopt bijvoorbeeld simpele goedkope certs die alleen geverifieerd worden aan de hand van de domeinnaaminfo (geschikt om bijvoorbeeld de eigen (web)mail te beveiligen zonder warning, maar niet handig voor grootschalige eCommerce), maar ook dure waarbij je allerlei bewijs moet overleggen van dat jij recht hebt een cert aan te vragen met een bepaalde common name erin.

IPS CA is ook goed te betalen.

http://certs.ipsca.com/

[ Voor 15% gewijzigd door TheBrain op 06-08-2007 15:50 ]

TheBrain schreef op maandag 06 augustus 2007 @ 15:50:
IPS CA is ook goed te betalen.

http://certs.ipsca.com/

Je krijgt precies wat je betaalt Ze geven tot 1024 bits key lengtes uit. Dat vind ik het minimum, niet een maximum. De computers worden steeds sneller en 512 bits was al een no-no situatie en 1024 ook al een tijdje. Ik weet dat het duurder is, maar als je e-commerce wilt doen zou ik toch ook wel eventjes letten op de key lengte dat je 1024 neemt als minimum.

Ik vind het wel erg vreemd en ondoorzichtig hoe je aan een certificaat kan komen (persoonlijk op naam of voor je server). Ik kan niet zien dat je ergens in het proces je persoonlijke gegevens moeten overleggen en eventueel zelfs je paspoort of ID-kaart. Dat lijkt me toch wel interessant om je naam op te kunnen zoeken in een whois database van jou domein bijv.

Kan iemand mij vertellen wat die wildcard certificaten zijn? Is dat een certificaat die een signing namespace heeft van "/*"? Handig, maar strijk een beetje tegen mijn haren in dat allerlei CAs dezelfde subject kunnen signen.

wildcard certs zijn *.domain.tld certificaten.

falcon_050 schreef op dinsdag 07 augustus 2007 @ 13:47:
Goh.... heel wat losgemaakt. Bedankt allen. Het gaat bij mij alleen om OWA. Ik denk dat ik voorlopig maar bij de zelfondertekende certifikaten blijf.

Wat is OWA?

Outlook Web Access.. 3 seconden googlen en je had het ook geweten..

Move PNS > IH

Equator schreef op dinsdag 07 augustus 2007 @ 14:59:
Outlook Web Access.. 3 seconden googlen en je had het ook geweten..

Ik kwam iets tegen over Oregon Wine Association, iets met renewable energy en inderdaad ook veel Outlook Web Access. Maar sorry, ik had de link niet direct gelegd dat je het daar voor wilt gebruiken.

Effe een vraagje aan de TS hierover, je zegt OWA en dat je daar je eigen reeks ceritifcaten voor gaat gebruiken. Hoe ga je dat gebruiken? Zal je je users authenticeren met behulp van de certificaten of wil je alleen de TLS connectie er mee opzetten (server certificaat).

[ Voor 29% gewijzigd door VisionMaster op 07-08-2007 16:06 ]

CyBeR schreef op zondag 05 augustus 2007 @ 16:22:

Maar sommige van die 'nieuwe' CA's zitten niet in de vorige versies van alle browsers. Dus bijvoorbeeld iemand die nog met IE5.5 surft zal dan nog altijd een warning krijgen. En als de uitgevende instantie niet goed controleert of jij wel bent wie je zegt dat je bent, zijn hun certificaten ook niet echt veel waard. Beide problemen heb je niet als je met een van de 'established' CA's in zee gaat, zoals bijvoorbeeld Verisign en Thawte. Die zijn alleen wel wat duurder.

Laat ik de vraag dan andersom stellen: heeft er iemand al _negatieve_ resultaten van zo'n goedkoop certificaat?

Ik vind de prijsverschillen namelijk wel erg groot en dan wordt zo'n 20-euro-certificaat wel erg aantrekkelijk.

Japius schreef op dinsdag 07 augustus 2007 @ 16:07:
[...]


Laat ik de vraag dan andersom stellen: heeft er iemand al _negatieve_ resultaten van zo'n goedkoop certificaat?

Ik vind de prijsverschillen namelijk wel erg groot en dan wordt zo'n 20-euro-certificaat wel erg aantrekkelijk.

Ik heb alleen ervaring met gratis certificaten op besloten systemen. De nadelen staan hierboven al vaak genoeg maar voor mij werkte het prima.

Ik vraag me af in hoeverre de gemiddelde gebruiker het certificaat controleert. Als er maar een slotje staat (waar men nu misschien wel op let.) is het voor veel mensen prima denk ik, zonder te controleren of het wel is uitgegeven aan het juiste bedrijf en door een bekende organisatie.
Misschien dat dit verandert met de groene adresbalk omdat het dan allemaal wat duidelijker wordt.

xtra schreef op woensdag 08 augustus 2007 @ 11:14:
[...]

Ik heb alleen ervaring met gratis certificaten op besloten systemen. De nadelen staan hierboven al vaak genoeg maar voor mij werkte het prima.

Ik vraag me af in hoeverre de gemiddelde gebruiker het certificaat controleert. Als er maar een slotje staat (waar men nu misschien wel op let.) is het voor veel mensen prima denk ik, zonder te controleren of het wel is uitgegeven aan het juiste bedrijf en door een bekende organisatie.
Misschien dat dit verandert met de groene adresbalk omdat het dan allemaal wat duidelijker wordt.

Waar ik iedereen op laat letten is dat de browser aangeeft dat het allemaal goed is (groen slotje, groen balkje, what ever). Als er iets anders staat, dan moet je altijd op je hoede zijn. Meestal zeg je ja, omdat niet iedereen de melding begrijpt wat het betekent dat de gebruikte CA niet in je trusted lijst staat.

Ik zeg altijd maar simpel dat een certiticaat dat getekent is door een onbekende partij het zelfde is alsof iemand je een paspoort laat zien van een niet bestaant land op de kaart.