Toon posts:

SSL certificaten

Pagina: 1
Acties:

  • mpol
  • Registratie: september 2002
  • Laatst online: 27-09 12:25

mpol

root@localhost

Topicstarter
Hallo,

Op mijn werk doen we tot nu toe weinig met certificaten, maar voor sommige mailgebruikers is het wel een probleem. We gebruiken nu zelfgetekende certificaten, maar dat wordt slecht ondersteund door browsers. Veelal klagen ze (Firefox) of werken ze gewoonweg niet (IE8).
Hoe gaan jullie hier mee om? Kopen jullie certificaten, of gebruiken jullie gratis certificaten? Vroeger waren er plekken waar ze gratis certificaten uitgaven, maar ik heb begrepen dat die er niet meer zijn.

https://timelord.nl


  • DAzN
  • Registratie: april 2000
  • Niet online
Prive gebruik ik goedkope certificaten zonder hele hoge encryptie, dat is voldoende voor mijn gebruik. Mijn werkgever gebruikt wildcard-certificaten voor ons eigen domein. Die zijn prijzig, maar wel handig in het gebruik.

Een paar honderd euro is niet zo gek veel voor een bedrijf, zeker niet als dat betekent dat je dingen veiliger kunt doen.

Kijk eens bij Godaddy, die bieden vrij goedkope certificaten aan. Geeft je in ieder geval een beeld van de kosten.

  • Wolfboy
  • Registratie: januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

Voor iets van 150 euro heb je bij Godaddy een wildcard certificaat waarmee elk subdomein van je domein opeens werkt. Zeker de moeite waard als het daarmee opeens eenvoudiger is voor gebruikers om in te loggen lijkt me.

Blog [Stackoverflow] [LinkedIn]


  • mithras
  • Registratie: maart 2003
  • Niet online
BIj particuliere zou ik gewoon genoegen nemen met self signed certificaten. In bedrijfsomgeving zou ik dat niet zomaar doen. Die paar honderd euro moeten peanuts zijn en geven je wel een professionele uitstraling. De mate van beveiliging is afhankelijk van je doel en budget.

  • mpol
  • Registratie: september 2002
  • Laatst online: 27-09 12:25

mpol

root@localhost

Topicstarter
Hmm, bij ons zit het er tussen in. We zijn een bedrijf, maar dan een vrijwilligersorganisatie. Veel financiele speelruimte is er dus niet, en ik zal het goed moeten onderbouwen als er 100 Euro uitgegeven moet worden.
We gaan wel steeds meer met webshops doen, dus het is wel handig om goed te regelen.

Ik zit nu te kijken op:
http://www.instantssl.com...free-ssl-certificate.html
Is dat wat, of toch niet echt?

https://timelord.nl


  • burne
  • Registratie: maart 2000
  • Niet online

burne

Mine! Waah!

mpol schreef op vrijdag 05 november 2010 @ 22:27:
Hmm, bij ons zit het er tussen in. We zijn een bedrijf, maar dan een vrijwilligersorganisatie. Veel financiele speelruimte is er dus niet, en ik zal het goed moeten onderbouwen als er 100 Euro uitgegeven moet worden.
Ik zeg https://www.sslcertificaten.nl/

12 euro per jaar voor een simpel certificaatje, 125 voor een wildcard. En tien minuten levertijd, in ieder geval overdag.

(wat je zelf linkt is een 90-dagen trial van een van de certs die Xolphin levert..)

[Voor 8% gewijzigd door burne op 06-11-2010 21:59]

I don't like facts. They have a liberal bias.


  • deadinspace
  • Registratie: juni 2001
  • Laatst online: 27-09 17:16

deadinspace

The what goes where now?

mpol schreef op vrijdag 05 november 2010 @ 20:57:
Op mijn werk doen we tot nu toe weinig met certificaten, maar voor sommige mailgebruikers is het wel een probleem. We gebruiken nu zelfgetekende certificaten, maar dat wordt slecht ondersteund door browsers. Veelal klagen ze (Firefox) of werken ze gewoonweg niet (IE8).
Natuurlijk klagen ze of werkt dat niet! Self-signed certificates bieden geen enkele veiligheid als je de certificaten op alle relevante computers installeert, anders is het enige dat je krijgt een portie schijnveiligheid.

Ik zeg: distribueer je self-signed certs naar alle relevante computers, of betaal die drie stuivers voor een echt certificaat. Als het gaat om gegevensbeveiliging binnen een bedrijf dan moet daar budget voor zijn.
mpol schreef op vrijdag 05 november 2010 @ 22:27:
Hmm, bij ons zit het er tussen in. We zijn een bedrijf, maar dan een vrijwilligersorganisatie. Veel financiele speelruimte is er dus niet, en ik zal het goed moeten onderbouwen als er 100 Euro uitgegeven moet worden.
startssl.com biedt beperkte gratis certificaten voor persoonlijk gebruik, die gebruik ik zelf ook voor mijn eigen domein. Misschien is dat voor non-profits ook een optie?

  • burne
  • Registratie: maart 2000
  • Niet online

burne

Mine! Waah!

deadinspace schreef op zaterdag 06 november 2010 @ 21:29:
Misschien is dat voor non-profits ook een optie?
Nee, alleen voor natuurlijke personen.

I don't like facts. They have a liberal bias.


  • Rainmaker
  • Registratie: augustus 2000
  • Laatst online: 02-08 15:31
Er is deze nog, maar ik weet niet zeker of dit nu een "echte" CA is, of dat users dan toch nog een CA moeten toevoegen...

We are pentium of borg. Division is futile. You will be approximated.


  • Fish
  • Registratie: juli 2002
  • Niet online

Fish

How much is the fish

Rainmaker schreef op zondag 07 november 2010 @ 01:56:
Er is deze nog, maar ik weet niet zeker of dit nu een "echte" CA is, of dat users dan toch nog een CA moeten toevoegen...
als de login pagina probeert, braakt ie al meldingen op. dunkt me van van niet

Iperf


  • Alex)
  • Registratie: juni 2003
  • Laatst online: 17-08 18:03
Daarnaast is er ook nog http://www.startssl.com, die ook gratis SSL-certificaten uitgeven die voor zover mij bekend ook door Windows herkend worden.

[Voor 26% gewijzigd door Alex) op 07-11-2010 03:05]

We are shaping the future


  • Wolf87
  • Registratie: juli 2004
  • Laatst online: 26-09 21:16
Ik gebruik meestal het volgende:

Self-signed certificaat voor een toepassing waarbij alle gebruikers bekend zijn.
Self-signed certificaat met double sided SSL, waarbij alle gebruikers bekend zijn en hoge beveiliging nodig is.

In de overige gevallen gebruik ik meestel iets als sslcertificaten.nl/

Nikon D80 | Nikkor AF-D 35-70/2.8 | Nikkor AF-S DX 18-200/3.5-5.6G VR IF ED | Nikkor AI 50mm 1.8 | Nikon SB-900 | Nikon SB-26


  • BoAC
  • Registratie: februari 2003
  • Laatst online: 06:15

BoAC

Memento mori

fish schreef op zondag 07 november 2010 @ 02:13:
[...]

als de login pagina probeert, braakt ie al meldingen op. dunkt me van van niet
Ik maak ook gebruik van cacert: https://boac.nl. Onder IE 6 was (meen ik) standaard bekend. Onder IE 7/8 en FireFox moet je wel het certificaat voor cacert installeren.

  • deadlock2k
  • Registratie: januari 2003
  • Laatst online: 12-08 13:59
-

[Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:26]


  • mpol
  • Registratie: september 2002
  • Laatst online: 27-09 12:25

mpol

root@localhost

Topicstarter
Bedankt voor de reacties. sslcertificaten.nl is dus iets wat ik zoek. Voor weinig geld kan er voor een domein een certificaat komen. Voor mail is dat wel handig (loopt bij ons allemaal via ons eigen domein) en voor webshops ook te overzien.

https://timelord.nl


  • Fish
  • Registratie: juli 2002
  • Niet online

Fish

How much is the fish

BoAC schreef op maandag 08 november 2010 @ 13:22:
[...]

Ik maak ook gebruik van cacert: https://boac.nl. Onder IE 6 was (meen ik) standaard bekend. Onder IE 7/8 en FireFox moet je wel het certificaat voor cacert installeren.
Ok even mijn hoedje van zilverfolie op.
Hoe weet ik dat dat certifikaat in orde is als ik de site niet kan verificeren (kip/ei). lijkt me dat ze dan voor first contact eigen een "echt" certifikaat via de normale trusted autorities zouden moeten laten lopen. ik heb wel wat geprobeert maar geen manier gezien om via authenticatd https het certifikaat voor ca cert binnen te krijgen
of zie ik zo gauw iets over het hoofd ?

Iperf


  • burne
  • Registratie: maart 2000
  • Niet online

burne

Mine! Waah!

https://www.cacert.org/index.php?id=3 ?

En dan downloaden met een recente Firefox. Maar. Als je IE5 of IE6 gebruikt heb je hele andere en veel grotere problemen dan de autenticiteit van een certificaat.

I don't like facts. They have a liberal bias.


  • Fish
  • Registratie: juli 2002
  • Niet online

Fish

How much is the fish

burne schreef op maandag 08 november 2010 @ 20:12:
[...]


https://www.cacert.org/index.php?id=3 ?

En dan downloaden met een recente Firefox. Maar. Als je IE5 of IE6 gebruikt heb je hele andere en veel grotere problemen dan de autenticiteit van een certificaat.
There is a problem with this website's security certificate.
The security certificate presented by this website was not issued by a trusted certificate authority.
Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
We recommend that you close this webpage and do not continue to this website.
Click here to close this webpage.
Continue to this website (not recommended).
More information
Dat zei ik kip/ei

Als ik het zo mag zeggen, is dit een self-proclaimed trusted authority. ze geven idd zelf al wat bronnen ter verificatie welke ik inmiddels heb gelezen en nou geloof ik wel dat het allemaal legit is.
Maar bottom line is dat je iets accepteerd van een site waarvan je denkt dat die goed maar welke niet op de de normale manier wordt geauthenticeerd, waardoor je stiekem extra risico loopt.

iets wat je af zou kunnen vangen door een pagina aan te beiden waar de certifikaten aangeboden worden, die wel wordt geauthenticeerd door een normaal certifikaat wat ik een beetje mis

Verder, goed voor je eigen encryptie ondervoorbehoud dat je deze vertrouwd. maar niet voor mensen die van buitenaf komen zoals ik. en surf ik bijv naar https://boac.nl en krijg die melding en denk die slaan we maar even over.
Zelfs al zou ik cacert vertrouwen, dan dan zou ik niet weten dat deze door cacert gaat omdat ik dat pas kan zien in ie nadat ik toch naar de pagina ga met evt risico's van dien

[Voor 12% gewijzigd door Fish op 08-11-2010 20:33]

Iperf


  • CyBeR
  • Registratie: september 2001
  • Niet online

CyBeR

💩

deadlock2k schreef op maandag 08 november 2010 @ 13:55:
[...]

Dat is natuurlijk niet helemaal waar. Stel dat je zelf een certificaat genereert voor SSL communicatie met je eigen gebruikers, dan is die verbinding daarna gewoon ge-encrypt en veilig.
Eh, nee. Dat is dus niet zo want op die manier is 't niet zeker of er niemand tussen zit de zogenoemde man-in-the-middle te spelen. Dat kun je alleen uitsluiten als je ofwel een echt certificaat koopt (waarbij de ondertekenaar ervan een bepaalde mate van controle uitvoert op of jij wel gerechtigd bent dat te doen) ofwel de certificaten zelf op een veilige manier distribueert.
Andersom zijn SSL-certificaten volgens jouw redenatie altijd schijnveiligheid aangezien iedereen die dingen kan aanvragen.
Ik zou graag een certificaat voor ing.nl en whitehouse.gov aanvragen, maar dat gaat me toch echt niet lukken hoor.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • deadlock2k
  • Registratie: januari 2003
  • Laatst online: 12-08 13:59
-

[Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:26]


  • Kamose
  • Registratie: februari 2009
  • Laatst online: 31-05-2016
deadlock2k schreef op dinsdag 09 november 2010 @ 13:41:
[...]

Ja, maar dan kan je eigenlijk alleen nog maar EV-certficaten gebruiken. Er zijn genoeg louche bedrijven die normale certs verkopen.


[...]

Je kan die CSR echt wel maken en opsturen, je moet alleen toegang hebben tot het mailadres waar de certificaten naartoe gezonden worden en dat zal ongetwijfeld moeilijker zijn. Maar allerminst onmogelijk.
Als er een louche CA tussen zit dan wordt deze snel geblack list. Daarmee valt of staat namelijk het hele idee achter SSL.

Natuurlijk zou je iemands inbox kunnen hacken om zo alsnog achter de gesignde certificaten te kunnen komen. Maar dit ligt buiten de scope van SSL.

Als je self signed certs gebruikt dan ben je gewoon vatbaar voor mitm aanvallen. Tenzij je iedereen de fingerprint laat controleren welke ze via een veilig kanaal hebben verkregen. Doe je dit niet dan is het gewoon schijnveiligheid.

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80


  • CyBeR
  • Registratie: september 2001
  • Niet online

CyBeR

💩

deadlock2k schreef op dinsdag 09 november 2010 @ 13:41:
[...]

Ja, maar dan kan je eigenlijk alleen nog maar EV-certficaten gebruiken. Er zijn genoeg louche bedrijven die normale certs verkopen.
Het idee van trust is dat je dergelijke bedrijven, die niet een bepaalde minimumstandaard hanteren, niet vertrouwt. Die zitten, als het goed is, dus ook niet standaard in je browser of os. Dat zijn alleen bedrijven die wel die controle uitvoeren en ook verzekeringen hebben voor als 't toch mis gaat (wat inderdaad altijd kan, natuurlijk.)
Je kan die CSR echt wel maken en opsturen, je moet alleen toegang hebben tot het mailadres waar de certificaten naartoe gezonden worden en dat zal ongetwijfeld moeilijker zijn. Maar allerminst onmogelijk.
Ja, het kan altijd misgaan natuurlijk maar niet door gewoon een CSR te maken en op te sturen en klaar te zijn.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • deadinspace
  • Registratie: juni 2001
  • Laatst online: 27-09 17:16

deadinspace

The what goes where now?

deadlock2k schreef op maandag 08 november 2010 @ 13:55:
Stel dat je zelf een certificaat genereert voor SSL communicatie met je eigen gebruikers, dan is die verbinding daarna gewoon ge-encrypt ...
Ja.
... en veilig.
Nee.

Bij een self-signed cert dat de client niet al heeft is er voor de client geen enkele garantie dat deze daadwerkelijk met de juiste server praat. Bij een man-in-the-middle attack kan de aanvaller gewoon zijn eigen self-signed cert presenteren die de client dan moet accepteren.
Andersom zijn SSL-certificaten volgens jouw redenatie altijd schijnveiligheid aangezien iedereen die dingen kan aanvragen.
Nee. Iedereen kan een certificaat aanvragen, maar alleen jij kan een certificaat aanvragen voor jouw domein.

(ervanuitgaande dat we de CA's vertrouwen om zorgvuldig te zijn, wat op zich een "big if" is. Maargoed, dat is de aanname waarop het die hele PKI gebaseerd is)
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee