ComputerBase Menü
Aktuelles

SSL-Zertifikat für kleinen Webshop?

Nein - dem Threadersteller geht es um organisationsvalidierte Zertifikate und Erfahrungen mit den verschiedenen Anbietern. Dementsprechend kommt LE nicht in Frage. Das die das nicht anbieten hab ich auch erst nach dem erstellen gesehen. Sonst hätte ich das garnicht erwähnt. Ist doch nicht so schwer die Frage richtig zu lesen.. Seriös ist noch immer nicht auf die Hersteller bezogen...

Wie gesagt kann bei DV Zeritifikaten wie LE sie anbietet jeder dahinterstecken - und nicht nachgewiesen derjenige, dem der den Shop betreibt. Das macht bei Kunden einen bessren Eindruck als ein DV. Ich möchte den Kunden diesen Nachweis bieten. Genau wie jeder andre Webshop, den ihr so nutzt. Da werdet ihr keinen finden, der LE nutzt, weil die ebenso zeigen möchten wer hinter dem Laden steckt.So einfach ist das. Das bietet LE nicht - und ist dementsprechend nicht ausreichend. Ebenso bietet LE keine Wildcardzertifikate an.

Daher zurück zur eigentlichen Frage:
Habt ihr Erfahrungen mit den verschiedenen Zertifikateanbietern ist. Welcher zu empfehlen ist, welcher nicht.

Was würdet ihr da empfehlen? Und wo holt ihr eure Zertifikate? Habt ihr da gute Erfahrungen mit Anbietern.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hayda Ministral
Kleiner Einwurf: Wildcard ist mit LE kein Problem. Aber nun zurück zu deiner eigentlichen Frage, bei der ich auch nicht helfen kann.
 
Funksignal schrieb:
Lets Encrypt wird von allen gängigen Browsern als vertrauenswürdig eingestuft - ist also seriös.

-> Lets Encrypt nehmen und fertig ;-)

P.S. CB verwendet auch ein Lets Encrypt Zertifikat, kann also nicht soo unseriös sein ^^
Zum Vergrößern anklicken....
Ich nehme in solchen fällen dann auch Let's Encrypt her... Das kostet bei den meisten Hostern auch nichts! Häkchen gesetzt und SSL funktioniert!
 
Das macht bei Kunden einen bessren Eindruck als ein DV. Ich möchte den Kunden diesen Nachweis bieten.
Zum Vergrößern anklicken....
Wie viele Kunden machen das denn (und schauen sich das Zertifikat an)?
Wie viele lesen sich das Impressum durch, wie viele die AGB?
Wie viele Kunden wissen, welcher Zertifikatsanbieter seriös ist und entsprechende Prüfungen wirklich durchführt? Wie viele denken, dass LE unseriös wäre?
Wie viele schauen, bei wem die entsprechende Domain angemeldet ist?

Ich war mal auf alternate.de und wo sehe ich den Nachweis da? Kann mir jemand auf die Sprünge helfen?
Ich sehe nur, dass es für *.alternate.de ausgestellt wurde. Ob es seriös ist, ob der Aussteller geprüft hat, ob er Auftraggeber überhaupt die Domain nutzen darf usw, das sehe ich da irgendwie alles nicht.
 
  • Gefällt mir
Reaktionen: Evil E-Lex
kaktux schrieb:
Da werdet ihr keinen finden, der LE nutzt, weil die ebenso zeigen möchten wer hinter dem Laden steckt.
Zum Vergrößern anklicken....
Mutige Aussage. Ich habe eben noch bei einem kleinen Webshop geschaut: Let's Encrypt.
Ich kann deine Motiviation zwar verstehen, glaube allerdings, dass du die IT-Kompetenz deiner Kunden massiv überschätzt. Die gucken, wenn überhaupt, nur ob ein Schloss angzeigt wird. Kein 08/15-Kunde schaut sich das Zertifikat an.

Für Zertifikate anderer CAs bin ich mit der PSW-Group immer gut gefahren. Die führen Zertifikate mehrerer großer Anbieter und bieten gute telefonische Beratung
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: tollertyp und DerGoblin2k
Ich gehe auch davon aus, dass die allermeisten einfach nur auf das Schloss-Zeichen achten. Wenn es da ist: gut. Wenn nicht: nicht gut.
 
In einem Projekt hatten wir ein EV, ein Wildcard DV und einzelne DVs mit SAN. Dieses Jahr kam ein Relaunch und anhand der Shop-Struktur hätten wir 100+ Zertifikate ordern müssen (Hauptdomain, Subdomains, Sub-Subdomains, Partner-Domains, ...). Mehrere Wildcards und einige reguläre DVs. Die Kosten hätten Minimum 24.000 $ betragen. Was war wohl die logische Konsequenz? Jap LE. Kurz den DNS Server umgezogen, LE automatisiert und fertig.

Mehrere Änderungen des SAN eines DV-Zertifikats hat in der Vergangenheit mindestens 1000 € gekostet. Einfache Kohle für die CA um ein dummes Feld zu erweitern.

EV war mal "gut", als die Browser es noch hervorgehoben haben. Aber wenn die Firma aus 60 Buchstaben besteht und die halbe URL-Leiste einnimmt, ist es nur logisch, dass Mozilla und Google da was drehen. Einen Sicherheitsgewinn hast du da aber auch nirgends, außer dass der Firmennamen in grün hervorgehoben war. Auch werden EVs nicht geprüft, wie immer gern angegeben wird. Da kommt ggf. ein Telefonat "Sind Sie der und der?", du bestätigt und fertig. Lachhaft...

Die üblichen CAs sind auch keineswegs als sicher(er) oder seriös einzustufen - das zeigt die Vergangenheit von bspw. Symantec. Mozilla besitzt wohl auch mehr Know How als alle CAs zusammen und die Transparenz von LE ist einfach nur als vorbildlich zu bezeichnen.

Wer in 2020 immer noch Geld für Zertifikate ausgibt hat zu viel Geld übrig und nen Dachschaden. Und wer LE als "unseriös" ö.ä. betitelt, sollte sich beim Thema SSL ganz raushalten. Wer "Geld für Zertifikat ausgeben" auf eine Stufe mit Seriosität stellt... Ein Zertifikat hat auch nichts mit Vertrauen zu tun. Ein Zertifikat stellt sicher, dass der, mit dem du kommunizieren willst, auch wirklich der ist, welcher er halt ist und dass die Kommunikation nicht manipuliert wurde. Außer man nutzt nen Fancy "Virenscanner" der seine üblichen Schindluder treibt und man für die Sauerei ggf. auch noch Geld hinlegt... Unwissenden kann man halt problemlos Geld aus der Tasche ziehen. Man zahlt für eine Schwächung der Sicherheit freiwillig Kohle und findet es toll. xD Junge Junge....

Vertrauen ist ne komplett andere Baustelle und da schaut man erstmal mindestens ins Impressum. Dann auf Zahlungsweisen und zahlt nie auch nur irgendwo per Vorkasse (außer man kennt den Betreiber mittlerweile). Weiterhin schaut man sich Produkte und Preise an und vergleicht diese auch mit anderen Angeboten. "Oh eine Rolex für 100 €, na das ist aber seriös". :headshot:

Meine Meinung.

Ach das schöne Thema SSL.... :O Viel Einbildung, viel Gefühl, wenig Wissen.

edit: Große Preisfrage: Wer kennt den Grund, warum Self Signed Certs schlechter bewertet werden als eine unverschlüsselte Übertragung?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DeusoftheWired, Evil E-Lex, tollertyp und 2 andere
Yuuri schrieb:
Ein Zertifikat stellt sicher, dass der, mit dem du kommunizieren willst, auch wirklich der ist, welcher er halt ist und...
Zum Vergrößern anklicken....
Na eben nicht ganz. Das Zertifikat stellt erst mal nur die Verschlüsselung sicher. Dass Du wirklich der bist, für den Du dich ausgibst, das soll ja die CA "beglaubigen", in dem sie dein Zertifikat signiert und genau dieser Schritt fällt halt bei LE deutlich geringer aus als bei anderen CAs. Deswegen ja auch die verschiedenen Optionen und Preise bei Zertifikaten und genau darum ging es ja dem TE.

Ich habe mal das Cert von einer Bank mit dem von CB verglichen und da sind schon Unterschiede zu sehen. Und genau um diese Unterschiede geht es dem TE, bzw. deren Wirkung.

Capture.JPG

Ich vertraue CB mehr als jeder Bank. 😉
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: kaktux und Tzk
Und wie sieht es bei dir bei alterante.de aus? Dort sehe ich keinen Hinweis, dass die Identität bestätigt ist.
1590931696419.png


also nicht mal jedes dieser Zertifikate hat solch eine Information?
1590931712318.png

Gerne auch noch aus dem Firefox:
1590931793228.png


Ich glaube kaum, dass sich irgendjemand beim Einkaufen wirklich für den Besitzer des Zertifikats interessiert, aber ich bin mir auf der anderen Seite sicher, dass der TE seine Kundschaft gut genug kennt um es besser zu wissen.
 
Bob.Dig schrieb:
Dass Du wirklich der bist, für den Du dich ausgibst, das soll ja die CA "beglaubigen"
Zum Vergrößern anklicken....
Warum das in der Praxis nicht funktioniert, hat @Yuuri doch in seinem Beitrag erläutert. Ich kann seine Erfahrungen nur bestätigen. Zertifikate waren schon immer eine Gelddruckmaschine. Viel Gewinn für wenig Aufwand. Die Prüfungen für OV- und EV-Zertifikate sind so lax, dass man darauf verzichten kann. Zum Glück hat LE diese von vorne bis hinten unseriöse Geschäftemacherei großflächig zum Erliegen gebracht.
 
  • Gefällt mir
Reaktionen: DeusoftheWired, tollertyp und Tzk
Ich sehe es im Grunde wie ihr, nur was erwartet man, dass da jemand persönlich vorbeifährt, um nach dem rechten zu sehen? Ein Anruf mag nicht nach viel klingen. Möglicherweise ist das aber mit anderen Datenpunkten dann einfach ausreichend. Dass Zertifikate die reinste Geldmache sind, bestreite ich auch nicht.

Deswegen soll der TE mal sagen, was er eigentlich nun will und dann kann man ihm ggf. sagen, wo es das am billigsten gibt. Ob er es braucht, kann halt nur er beurteilen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Ionos Domain: www.sub.domain.tld zu sub.domain.tld mit einem Zertifikat abdecken - Wildcard erforderlich?
Antworten
10
Aufrufe
694
_anonymous0815_
A
smashcb
SSL Zertifikat Let's Encrypt 1blu Subdomain
Antworten
16
Aufrufe
1.523
qiller
Q
B
Virtuelle Server für kleinen Kunden
Antworten
10
Aufrufe
1.023
Raijin
Raijin
Arjab
Probleme mit SSL-Zertifikaten für lokale Domains
Antworten
9
Aufrufe
1.239
Arjab
Arjab
K
Suche Überwachungskamera für Wohnung inkl. Nachtsicht
Antworten
15
Aufrufe
1.528
Engaged
Engaged
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz