SSL-zertifikate - unterschiede?

Anonym_208e60e36d14 · 11. November 2019 um 15:14

hallo.

ich möchte einen kleinen online-shop einrichten. weil man auch per lastschrift zahlen können soll, brauche ich laut anbieter einer lastschrift-software ein SSL-zertifikat.

nun gibt es hier verschiedene anbieter, die zwischen ca. 50 euro und über 1000 euro im jahr verlangen.

die post bietet z.b. eines für 139 euro im jahr an und wirbt damit, daß ihr „trustcenter“ in einem bunker liegt und mit diversen sicherheitsmaßnahmen vor zugriff von außen geschützt ist.
nützt mir das was?

auf http://www.heise.de/security/artikel/SSL-fuer-lau-88… lese ich, daß ein israelischer anbieter kostenlos zertifikate ausstellt.
welche nachteile habe ich damit (außer daß ich jedes jahr ein neues zertifikat besorgen müßte)?

gruß

michael

Hermann_Schaefer · 11. November 2019 um 15:15

welche nachteile habe ich damit (außer daß ich jedes jahr ein
neues zertifikat besorgen müßte)?

Windows/MacOS X und IE/Safari/Firefox/Opera usw. haben nicht viele vorinstallierte Root-Zertifikate. Wenn man ein anderes hat, bekommt der Surfer dann eine Warnung, daß die Ausstellungsinstanz nicht vertrauenswürdig ist…
Wenn, dann darauf achten, daß die Zertifizierungsstelle „vorinstalliert“ ist. Sonst kann man sich das auch sparen…

http://support.microsoft.com/kb/931125
http://support.apple.com/kb/HT3580
http://www.mozilla.org/projects/security/certs/inclu…

Anonym_208e60e36d14 · 11. November 2019 um 15:15

Wenn, dann darauf achten, daß die Zertifizierungsstelle
„vorinstalliert“ ist. Sonst kann man sich das auch sparen…

kann man? man braucht doch die verschlüsselung für die kommunikation mit der bank?
aber du hast natürlich recht, wenn der surfer gewarnt wird, kauft er vielleicht gar nix…

gruß

michael

Hermann_Schaefer · 11. November 2019 um 15:15

Wenn, dann darauf achten, daß die Zertifizierungsstelle
„vorinstalliert“ ist. Sonst kann man sich das auch sparen…

kann man? man braucht doch die verschlüsselung für die
kommunikation mit der bank?

Es geht darum, daß eben nicht alle Zertifizierer auch bei den gängigen Betriebssystemen und Browsern „mit dabei sind“. Auch wenn die alle Anforderungen erfüllen sollten (webtrust), so bekommt der Surfer halt doch eine Warnung. Nicht umsonst kaufen die meisten „großen“ Webseiten bei Verisign und Co., hat was von einem Kartell…

Tino · 11. November 2019 um 15:25

man kann sich die Kosten sparen, da man es sich dann auch selbst erstellen könnte.

Anonym_208e60e36d14 · 11. November 2019 um 15:25

man kann sich die Kosten sparen, da man es sich dann auch
selbst erstellen könnte.

warum nicht, wenn’s mir nur darum geht, daß daten verschlüsselt übertragen werden können (und dazu brauche ich doch ein zertifikat, oder)?

daß ein kunde einem zertifikat, daß nicht von verisign & co kommt, weniger bis gar nicht vertraut, steht doch auf einem anderen blatt.
oder lieg ich da falsch?

die frage ist: brauche ich (unbedingt) ein (teures) ssl-zertifikat, um mit einem kunden bzw. mit der bank daten über eine ssl-verbindung austauschen zu können?

gruß

michael

Tino · 11. November 2019 um 15:25

Wie soll das denn genau funktionieren? Gibt der Kunde seine Bankdaten auf deinem Server (im Shop) ein oder wird in einem separaten Frame oder Fenster die Webanwendung der Bank eingeblendet um die Daten einzugeben?
Falls du die Daten selber einsammelst - wie kommen diese dann zur Bank? Wie sind die genauen Anforderungen der Bank?

Wenn du dem Kunden im Shop selber eine HTTPS Seite präsentierst, z.B. um die Zahlungsabwicklung durchzuführen, so wirst du um ein teures Zertifikat nicht herum kommen. Ich hätte zumindest keine Lust in einem Onlineshop zu kaufen, bei dem mich mein Browser vor Sicherheitsproblemen (auf Grund nicht vertrauenswürdiger Zertifikate) warnt - das macht wohl kaum ein Kunde mit.

Anonym_208e60e36d14 · 11. November 2019 um 15:26

Falls du die Daten selber einsammelst - wie kommen diese dann
zur Bank? Wie sind die genauen Anforderungen der Bank?

weiß ich (noch) nicht. es ist so, daß die bank ein zusatzmodul (http://www.sichere-zahlungsmodule.de/xt-Commerce/VR-…anbietet), das an den shop (xt:commerce) angebunden werden kann. und dafür wird laut installationsanleitung ein ssl-zertifikat benötigt.

Wenn du dem Kunden im Shop selber eine HTTPS Seite
präsentierst, z.B. um die Zahlungsabwicklung durchzuführen, so
wirst du um ein teures Zertifikat nicht herum kommen.

so ist es gedacht.

Ich
hätte zumindest keine Lust in einem Onlineshop zu kaufen, bei
dem mich mein Browser vor Sicherheitsproblemen (auf Grund
nicht vertrauenswürdiger Zertifikate) warnt - das macht wohl
kaum ein Kunde mit.

das mag sein und klingt natürlich einleuchtend. aber die frage war nie „ist es sinnvoll, sich sein zertifikat selbst zu schreiben“, sondern „macht ein billliges zertifikat (rein TECHNISCH gesehen!) genau dasselbe wie ein teueres?“.

gruß

michael

Tino · 11. November 2019 um 15:27

weiß ich (noch) nicht. es ist so, daß die bank ein zusatzmodul
(http://www.sichere-zahlungsmodule.de/xt-Commerce/VR-…anbietet),
das an den shop (xt:commerce) angebunden werden kann. und
dafür wird laut installationsanleitung ein ssl-zertifikat
benötigt.

Mmhhh, komisch. Ich habe auf der Seite mal einen Demo-Shop aufgerufen und dort findet nur HTTP-Verkehr statt. Nach der Auswahl der Zahlungsmethode kommt eine Meldung „Sie werden weitergeleitet nach VR-Pay“ und ich werde tatsächlich auf einen anderen Server (vr-epay.de) weitergeleitet, der dann HTTPS spricht. Der Shop selbst spricht kein HTTPS, dementsprechend benötigt/nutzt er auch kein SSL-Zertifikat. Da würde ich mich beim Hersteller noch mal genau erkundigen. Der wesentlich Vorteil für dich wäre hier ja, dass du dich um den ganzen Kram (Zahlung und Sicherheit) nicht kümmern musst und entsprechend auch kein Zertifikat benötigst.

das mag sein und klingt natürlich einleuchtend. aber die frage
war nie „ist es sinnvoll, sich sein zertifikat selbst zu
schreiben“, sondern „macht ein billliges zertifikat (rein
TECHNISCH gesehen!) genau dasselbe wie ein teueres?“.

technisch ist es grundsätzlich das gleiche (SSL-Schlüssel können natürlich unterschiedliche Techniken (z.B. RSA, AES) und unterschiedliche Schlüssellängen und -stärken haben). Wenn die Zertifizierungsstelle im Browser als Vertrauenswürdig hinterlegt wird, bemerkt der User auch keinen Unterschied (das wirst aber nur du als Entwickler machen).

Anonym_208e60e36d14 · 11. November 2019 um 15:29

Mmhhh, komisch. Ich habe auf der Seite mal einen Demo-Shop
aufgerufen und dort findet nur HTTP-Verkehr statt. Nach der
Auswahl der Zahlungsmethode kommt eine Meldung „Sie werden
weitergeleitet nach VR-Pay“ und ich werde tatsächlich auf
einen anderen Server (vr-epay.de) weitergeleitet, der dann
HTTPS spricht. Der Shop selbst spricht kein HTTPS,
dementsprechend benötigt/nutzt er auch kein SSL-Zertifikat.

beim einigen der demoshops ist das tatsächlich so.
xt:commerce (was z.z. mein favorit ist) spricht aber https, sobald man auf „kasse“ klickt.
die weiterleitung nach VR-Pay erfolgt später genauso.

in der magento-anleitung steht auch nix von einem SSL-zertifikat.

Da
würde ich mich beim Hersteller noch mal genau erkundigen. Der
wesentlich Vorteil für dich wäre hier ja, dass du dich um den
ganzen Kram (Zahlung und Sicherheit) nicht kümmern musst und
entsprechend auch kein Zertifikat benötigst.

d.h. das würde gegen xt:commerce sprechen.

technisch ist es grundsätzlich das gleiche (SSL-Schlüssel
können natürlich unterschiedliche Techniken (z.B. RSA, AES)
und unterschiedliche Schlüssellängen und -stärken haben). Wenn
die Zertifizierungsstelle im Browser als Vertrauenswürdig
hinterlegt wird, bemerkt der User auch keinen Unterschied (das
wirst aber nur du als Entwickler machen).

ok. danke!

gruß

michael