Userbase

Dag

Wat zou eigenlijk het beste SSL-certificaat zijn voor een website?
Je ziet veel "groene of grijze" slotjes, maar soms ook een domein- of firmanaam.
De prijsverschillen zijn toch om even over na te denken wat te kiezen:
https://www.combell.com/nl/ssl-certificaten
De "groene balk" SSL aanbevelen voor webshops, oké, maar zoiets is toch ook handig voor een "gewone" website zou ik zo denken?
En dan vraag ik mij nog iets af: veronderstel een eenpersoonsbedrijf: zijn die niet sterk beperkt in de mogelijkheden? 't Zie hun naam daar al staan omdat zij niet echt een firmanaam hebben...
Laat uw bedenkingen en suggesties maar komen!

EV is wat luxe, maar geen kat dat er volgens mij op let...
en het is in het verleden al genoeg voorgekomen dat een geldige authoriteit valse certs uitgeeft (iirc is het ooit zelfs google overkomen).

gewoon een gratis cert van letsencrypt, meer heb je niet nodig (het is nog steeds zaak dat je website ook veilig is, inclusief de externe onderdelen, en niet gewoon https gebruiken)
binnenkort zelfs (eindlijk) wildcard certs bij LE.

Als gebruiker:
Zolang het groene slotje er staat en de website voor de rest betrouwbaar lijkt maak ik me er geen probleem uit.
Ik heb het even opgezocht en Google.com, Youtube.com, ... hebben ook gewoon een groen slotje met "Secure" zonder een naam dus het is niet dat het standaard is voor alle grote, betrouwbare sites.

Iedereen kan een gratis DV krijgen bij Let's Encrypt. Zo was er een klein schandaaltje over het feit dat Let's Encrypt zonder morren DV's uitgeeft voor zaken als paypal-admin.com enzomeer.

Eenmaal je dat weet, let je wél op de EV balk.

Maar akkoord, dat gaat een sterke minderheid van de mensen zijn.

CCatalyst schreef:Iedereen kan een gratis DV krijgen bij Let's Encrypt. Zo was er een klein schandaaltje over het feit dat Let's Encrypt zonder morren DV's uitgeeft voor zaken als paypal-admin.com enzomeer.
Eenmaal je dat weet, let je wél op de EV balk.

dat betwijfel ik ten sterkste:
1) het is meermaals voorgevallen dat andere authorities foute certs uitgeven
2) het is eveneens gebeurd dat authorities certs hebben uitgegeven voor VALID domains aan bedriegende partijen
3) "paypal-admin"... dan heb je wel andere fouten gemaakt dan "wel of niet EV certificaat" als je daarin trapt
4) iedereen kan een DV krijgen bij élke authority, dat heeft maar weinig met het al dan niet gratis te maken
5) TS heeft het over gemiddeld gebruik (dus geen multinational met geld teveel) en dan is EV zelfs niet aan de orde

in THEORIE voegt EV "bewijs van identiteit" toe (coolblue heeft overigens een EV cert), maar in praktijk blijkt dat toch amper waarde te hebben.
het enige wat effectief zo is, is dat;
A) ALS de certificate authority niet gehackt is (is al gebeurd) EN
B) er geen mitm dmv valse certs is (is al gebeurd) EN
C) de betreffende site zelf niet gehackt is (is al gebeurd)
je er van kan uitgaan dat de site wel degelijk van het bedrijf is ACHTER de site (wat niet altijd een genaamde relatie met de site heeft).

het wil echter nog steeds niet zeggen dat je gegevens veilig zijn (een EV-validated domein kan nog altijd je paswoord in plaintext opslaan)

je hebt ruwweg 3 soorten mensen:

1) het soort dat weet wat ze aan het doen zijn (en dus op de url en de site letten, inclusief de domeinvalidatie)
2) het soort mensen dat gewoon overal op klikt en denkt "groen, das dus veilig"
3) en dan degene die gewoon niet weten wat ze doen en overal op klikken, inclusief het doorgeven van hun kaartgegevens e.d

en in geen van die 3 gevallen voegt EV iets toe bovenop DV.
(naar de houder van de site, daarentegen, wel: EV komt meestal met verzekeringen e.d. voor de domeinnaamhouder)

Splitter schreef:1) het soort dat weet wat ze aan het doen zijn (en dus op de url en de site letten, inclusief de domeinvalidatie)

In theorie moet je iedere keer op het slotje klikken en de ganse chain nakijken... maar dat doet niemand.

Zoals je zelf aangaf is er ondertussen al zoveel fout gelopen met root certificaten dat je nog moeilijk kan spreken van een sluitend systeem.

@Allen die hebben gereageerd: hartelijk dank voor jullie inzichten!
Zo zie je maar hoe verschillend iedereen naar die "s" kijkt in htpps://
'k Heb ook wat zoekwerk gedaan, en dan vooral naar "de groene" balk.
Opmerkelijk: weinig banken hebben het en dikwijls ook de grote firma's niet zoals iemand al opmerkte.
En dan moet je op het slotje klikken om de chain te openen, wat velen nalaten.
Dan is de groen balk toch iets in het voordeel denk ik: je ziet in één oogopslag waar je bent.
(In de veronderstelling dat de certificaten genuine zijn)
Hier mijn lijstje (zonder de bedoeling om volledig te zijn):
https://www.fastmail.com
https://twitter.com
https://www.kbc.be/
https://www.nagelmackers.be/nl
https://www.combell.com/nl/
https://www.hushmail.com
https://protonmail.com
https://tutanota.com/nl/
https://posteo.de/en
https://runbox.com

Koelreuteria schreef: Opmerkelijk: weinig banken hebben het en dikwijls ook de grote firma's niet zoals iemand al opmerkte.
En dan moet je op het slotje klikken om de chain te openen, wat velen nalaten.
Dan is de groen balk toch iets in het voordeel denk ik: je ziet in één oogopslag waar je bent.

welke bank heeft dan geen EV? dat zijn net de meest logische gebruikers van EV certificaten.
en je ziet niet echt in 1 oogopslag waar je bent, je ziet gewoon de naam van het bedrijf erachter.
(ook een malafide bedrijf, kan een EV certificaat krijgen hoor, je moet gewoon een domeinnaam en een btw nr hebben)
en het verschil, ik weet nu niet hoe het zit met andere browsers, maar in bv firefox, kijk ik gewoon of het slotje er is, en dat vind ik even makkelijk te zien als een groene balk (ik moet toch in die richting kijken ervoor, en je kan nog steeds een EV cert hebben en toch http sources laden, en dan is je certificaat weer niets meer waard.)

again: EV heeft meer praktisch nut voor het bedrijf zelf dan voor de gebruiker, maar dan vooral voor grote bedrijven (verzekeringen).
Alsook, volgens mij kan je in de meeste browsers een malafide extensie induwen dat die EV ineens verdwijnt of gefaked kan worden.

om nog maar te zwijgen van het prijsverschil: 0 euro (dv, met wildcard vanaf januari, via letsencrypt) vs makkelijk 200 euro (zonder wildcard)

Bij een klant (medische sector, EMEA gebied) om een Extended Validation-certificaat te krijgen bij Comodo zijn we een maand bezig geweest waarbij telefonisch contact was, er documenten en identiteitspapieren moesten worden doorgefaxt eer het in orde kwam. Het domain-validation stuk hebben we kunnen doen door specifieke CNAME-records te maken in DNS die pointen naar een validatieservice van hen. Al bij al was het behoorlijk 'cumbersome' om 't geregeld te krijgen.

Jep, daarom dus dat ik EV's hoger acht dan DV's en ik daar wel op let. De kostprijs enerzijds en al de rompslomp die erbij komt kijken maakt dat die EV's toch niet voor iedereen weggelegd zijn.

Maar soit, mijn argument komt uiteraard te vervallen de dag dat EV's aan marginale kost en bijgevolg met marginale controle's gaan verkocht worden en die dag komt zeker. Dan zal de markt wel weer reageren met de creatie van EV+ of zoiets .

Marginale kost is er al wel: vanaf 68 EUR per jaar (https://www.gogetssl.com/extended-validation/), voor een bedrijf of hacker is dat peanuts.
Marginale controle zal er niet gauw komen: als die controles gemakkelijk omzeild kunnen worden, zal Microsoft enz. die CA meteen verwijderen uit hun trusted store en dan is het gedaan met die CA.

Zelf heb ik Letsencrypt gebruikt, maar op mijn NAS gebeurde de automatische vernieuwing na 3 maand niet altijd. Dus ben ik daar weer overgestapt naar een gewone CA, prijs was zo'n 12 EUR voor 3 jaar.

Je moet eens een bij comodo een code signing certificate proberen te verkrijgen als prive persoon. Wat was dat
Zelfs tot bij een notaris moeten gaan om documenten te laten ondertekenen, en die zij dan moesten doorfaxen.
Comodo belt dan uw notaris op, etc,etc etc. Ben er al bij al 6 maanden met bezig geweest , Maar heb nu een certifcaat voor 5 jaar...