Security Professionals - ipfw add deny all from eindgebruikers to any

Extended Validation SSL

04-05-2011, 18:21 door Anoniem, 23 reacties
Beste Security.nl lezers,

Binnenkort willen we een website/forum lanceren met een Extended Validation SSL.
Altans dat is de bedoeling...

Je moet met dit certificaat volgens bepaalde EV richt lijnen voldoen voordat het pas mogelijk is.
Ik kon eigenlijk nergens vinden wat deze richt lijnen zijn, en wat ik me ook afvraag.
Als ik alleen een website en forum run, zonder betaling onderdelen. moet ik me alsnog zorgen maken over deze richt lijnen?

Nu lees ik dat een Organisatie validatie geen richt lijnen heeft in vergelijk met een Uitgebreide validatie.
Klopt dit ook? en wat maakt het grote verschil hiertussen? Op die mooie groene adressenbar na...

Organisatie validatie: https://www.sslcertificaten.nl/SSLCertificaatMDC
Uitgebreide validatie: https://www.sslcertificaten.nl/SSLCertificaatUitgebreidMDC

Hoop dat jullie me hier verder mee kunnen helpen, neem aan dat mensen hier op Security.nl al vaker met dat bijltje gehakt hebben.

Met vriendelijke groet,
Security.nl lezer
Reacties (23)
05-05-2011, 10:56 door ej__
Waarom wil je een EV certificaat? Dat heeft weinig toegevoegde waarde voor gewone websites.
05-05-2011, 21:29 door Anoniem
Een EV certificaat is reinste geldklopperij je betaald bakken met geld voor een groen kleurtje neem gewoon een simpel certificaatje wat je voor weinig kan aanschaffen.
Weet niet waarom je voor een forum/site een ssl zou willen btw
06-05-2011, 08:52 door Anoniem
Door ej__: Waarom wil je een EV certificaat? Dat heeft weinig toegevoegde waarde voor gewone websites.
We hebben een forum en website, mijn mening is het verstandig voor het inlog systeem om een certificaat te nemen.

Of het dan een Uitgebreide wordt of een Organisatie is juist mijn vraag, buiten dat het een groene adressen bar geeft heeft het daad werkelijk wel nut.
Het geeft natuurlijk wel de gebruiker een veel veiliger gevoel (volgens mij was dat ook wel de voornaamste rede waarom je voor een EV zou gaan).
Vraag me alleen af aan welke richt lijnen ik moet houden als het alleen om een website/forum gaat, zo als "ej__" denk ik dat die bedoel dat het meer voor winkels is...
06-05-2011, 11:33 door Anoniem
De aanvullende eisen voor EV certificaten hebben voornamelijk betrekking op de validatie procedure waarbij de juistheid van de certificaat aanvraag wordt gecontroleerd. Je hoeft je daar zelf niet druk over te maken dat is een zaak van de partij waar je het certificaat aanvraagt. Mocht je meer willen weten dan vind je meer informatie op de volgende URL:

http://www.cabforum.org/vetting.html
06-05-2011, 13:01 door Anoniem
Bedankt Anoniem,

Voor mensen die dit ook willen ondernemen kreeg ik dit tevens van mijn host bedrijf:

I.V.M. de richt lijnen & CSR kan aanvragen:
Er wordt niet gekeken naar het softwarepakket dat u gebruikt, een csr
kunt u op een reseller pakket genereren binnen het DirectAdmin/Plesk
controlepaneel. Wel dient u om gebruik te maken van ssl te beschikken
over een eigen ip-adres, dit nieuwe adres dient u bij ons in een ticket
aan te vragen. Bij deze aanvraag dient u letterlijk te vermelden waar
u het ip-adres voor nodig heeft, daar wij dit aan RIPE dienen te
verantwoorden.

Mogelijk na deze procedure is alles in orde en kan je gebruik maken van deze dienst.
Ik neem aan dat die richt lijnen vooral bedoeld zijn dat er geen rare dingen mee gedaan worden.

Bedankt voor de hulp :)
06-05-2011, 15:54 door ej__
Door Anoniem:
Door ej__: Waarom wil je een EV certificaat? Dat heeft weinig toegevoegde waarde voor gewone websites.
We hebben een forum en website, mijn mening is het verstandig voor het inlog systeem om een certificaat te nemen.

Of het dan een Uitgebreide wordt of een Organisatie is juist mijn vraag, buiten dat het een groene adressen bar geeft heeft het daad werkelijk wel nut.
Het geeft natuurlijk wel de gebruiker een veel veiliger gevoel (volgens mij was dat ook wel de voornaamste rede waarom je voor een EV zou gaan).
Vraag me alleen af aan welke richt lijnen ik moet houden als het alleen om een website/forum gaat, zo als "ej__" denk ik dat die bedoel dat het meer voor winkels is...
Als je de vraag moet stellen dan heb je juist geen EV certificaat nodig. EV certificaten zijn vooral voor financiele instellingen die aan de klant moet laten zien dat ze een betrouwbare partner zijn, en dat hun website echt van hun is.

EV certificaten stellen hoge eisen aan de aanvrager met betrekking tot bewijzen dat je bent wie je zegt te zijn. Er is geen toegevoegde waarde voor een EV certificaat voor een gewone website en al helemaal niet voor een forum.

Let op dat je inderdaad wel een eigen ip adres moet hebben. En let ook op dat je het certificaat aan een geldige FQDN hangt. Dus niet aan domein.local. :D
08-05-2011, 11:12 door Anoniem

EV certificaten stellen hoge eisen aan de aanvrager met betrekking tot bewijzen dat je bent wie je zegt te zijn. Er is geen toegevoegde waarde voor een EV certificaat voor een gewone website en al helemaal niet voor een forum.

Let op dat je inderdaad wel een eigen ip adres moet hebben. En let ook op dat je het certificaat aan een geldige FQDN hangt. Dus niet aan domein.local. :D

Nu vraag ik me af omdat je zegt al helemaal niet voor een forum. Waarom niet???
Ik hoor zo veel mensen klagen dat websites geen SSL hebben en dat het onveilig is, zelfs security.nl zou het niet hebben waar mensen niet mee eens zijn, dus waarom zet ik hiermee niet een stap in de goede richting? leg dat dan eens uit voor een leek als ik.

Indien er iemand is die accounts wil stelen (en ja vraag niet waarom maar het kan) is dat toch een probleem. en is dat zeker te doen zonder versleuteling.
Bv. iemand wil het admin account hebben om zo bulkmails te versturen met spam of scrips in voeren naar websites waar virussen worden gedownload, noem het op en je hebt het wel. dat wil je toch niet bij je bezoekers??

voor een website kan ik het begrijpen, maar je zegt voor een forum al helemaal niet. ik zou het eerder andersom hebben gezegd want ik zou het eerder bij een forum begrijpen dan bij een website? Leg eens uit waarom je dit zegt en onderbouw het eens...

Invision powerboard (het software dat ik ga gebruiken) heeft zelfs een optie om via https hun inlog te regelen, dit zou toch niet zomaar gedaan zijn? ik neem toch aan dat hier wel over na gedacht is.

Zelf ben ik van mening dat ik hier goed aan doe, maar als iemand mij kan vertellen waarom ik hier niet goed aan doe, vertel het dan maar...

Let op dat je inderdaad wel een eigen ip adres moet hebben. En let ook op dat je het certificaat aan een geldige FQDN hangt. Dus niet aan domein.local. :D

In mijn vorige post gaf ik al aan dat ik het bij een host bedrijf laat doen, die aan gaf dat ik:
Bij deze aanvraag dient u letterlijk te vermelden waar u het ip-adres voor nodig heeft, daar wij dit aan RIPE dienen te verantwoorden.
Dit gaat na mijn mening wel in orde komen als zij het regelen, ik vermeld het bedrijf niet maar weet zeker dat ze wel vaker dit hebben gedaan. ook werk ik met een gewoon domain die je aanschaft bij het pakket. ik krijg van het host bedrijf 2 IP-adressen.

PS: ej__ zou je misschien wat meer je mening willen onderbouwen want onlangs dat ik het goed vindt dat je helpt, kom ik met jou reacties geen stap vooruit.
09-05-2011, 11:35 door xy22
Door Anoniem:

EV certificaten stellen hoge eisen aan de aanvrager met betrekking tot bewijzen dat je bent wie je zegt te zijn. Er is geen toegevoegde waarde voor een EV certificaat voor een gewone website en al helemaal niet voor een forum.

Let op dat je inderdaad wel een eigen ip adres moet hebben. En let ook op dat je het certificaat aan een geldige FQDN hangt. Dus niet aan domein.local. :D

Nu vraag ik me af omdat je zegt al helemaal niet voor een forum. Waarom niet???
Ik hoor zo veel mensen klagen dat websites geen SSL hebben en dat het onveilig is, zelfs security.nl zou het niet hebben waar mensen niet mee eens zijn, dus waarom zet ik hiermee niet een stap in de goede richting? leg dat dan eens uit voor een leek als ik.

Indien er iemand is die accounts wil stelen (en ja vraag niet waarom maar het kan) is dat toch een probleem. en is dat zeker te doen zonder versleuteling.
Bv. iemand wil het admin account hebben om zo bulkmails te versturen met spam of scrips in voeren naar websites waar virussen worden gedownload, noem het op en je hebt het wel. dat wil je toch niet bij je bezoekers??

voor een website kan ik het begrijpen, maar je zegt voor een forum al helemaal niet. ik zou het eerder andersom hebben gezegd want ik zou het eerder bij een forum begrijpen dan bij een website? Leg eens uit waarom je dit zegt en onderbouw het eens...

Invision powerboard (het software dat ik ga gebruiken) heeft zelfs een optie om via https hun inlog te regelen, dit zou toch niet zomaar gedaan zijn? ik neem toch aan dat hier wel over na gedacht is.

Zelf ben ik van mening dat ik hier goed aan doe, maar als iemand mij kan vertellen waarom ik hier niet goed aan doe, vertel het dan maar...

Let op dat je inderdaad wel een eigen ip adres moet hebben. En let ook op dat je het certificaat aan een geldige FQDN hangt. Dus niet aan domein.local. :D

In mijn vorige post gaf ik al aan dat ik het bij een host bedrijf laat doen, die aan gaf dat ik:
Bij deze aanvraag dient u letterlijk te vermelden waar u het ip-adres voor nodig heeft, daar wij dit aan RIPE dienen te verantwoorden.
Dit gaat na mijn mening wel in orde komen als zij het regelen, ik vermeld het bedrijf niet maar weet zeker dat ze wel vaker dit hebben gedaan. ook werk ik met een gewoon domain die je aanschaft bij het pakket. ik krijg van het host bedrijf 2 IP-adressen.

PS: ej__ zou je misschien wat meer je mening willen onderbouwen want onlangs dat ik het goed vindt dat je helpt, kom ik met jou reacties geen stap vooruit.
Ben zo vrij om te reageren (al ben ik waarschijnlijk lang niet zo goed op de hoogte als ej__, toch een poging).

De 'normale' (blauw in browser) biedt een goede versleutelde verbinding, de uitgebreide (groene) variant voegt daar een extra controle aan toe: de organisatie/persoon die het certificaat gebruikt is geverifieerd.
Voor het beschermen van gebruikersnamen/passwords/website, heb je dus meer dan voldoende aan een standaard certificaat. Tenzij je wilt dat iedere gebruiker van het forum zich er zeker kan voelen dat jij te vertrouwen bent, je kunt je afvragen of je dat wilt: iedere gebruiker kent jou als beheerder al (in zekere mate).

Weet niet of ej__ dit bedoeld, maar mij lijkt een 'standaard' certificaat ook afdoende, tenzij het om een betaald forum gaat.
Succes ermee!
09-05-2011, 12:38 door ej__
Zoals xy22 al zegt, het voegt op technisch vlak niets toe. De versleuteling is hetzelfde. EV certificaten hebben een betere administratieve controle. Maar dat staat allemaal al in mijn bericht. EV certificaten hebben zeker geen toegevoegde waarde bij een forum. Ik zeg niet, nergens, dat ssl bij fora slecht is. Als je dat denkt dan lees je mijn berichten verkeerd.

Jij vraagt over gewone certificaten tegenover EV. Daar krijg je dan antwoord op.

Als je met mijn antwoorden geen stap vooruit komt dan denk ik dat de tijd rijp is dat je een en ander aan specialisten gaat overlaten. Nogmaals, als je de vraag moet stellen of je een EV certificaat of een gewoon certificaat moet aanvragen dan heb je niet genoeg kennis.

Lees ik het goed dat je je certificaat op een shared webomgeving wilt gebruiken? Of is het een dedicated machine? In het eerste geval: absoluut geen EV nemen, want de shared omgeving staat op een of andere manier altijd voor anderen open. Inclusief het dure certificaat...
09-05-2011, 13:08 door Anoniem
Beste xy22 en ej__,

Als eerst ej__

Ik zeg niet, nergens, dat ssl bij fora slecht is. Als je dat denkt dan lees je mijn berichten verkeerd.

ik las je tekst verkeerd excuses.

Als je met mijn antwoorden geen stap vooruit komt dan denk ik dat de tijd rijp is dat je een en ander aan specialisten gaat overlaten.

Met geen stap vooruit bedoelde ik dat ik niks nieuws kreeg te horen dan wat ik al wist.

xy22


Ben zo vrij om te reageren (al ben ik waarschijnlijk lang niet zo goed op de hoogte als ej__, toch een poging).

De 'normale' (blauw in browser) biedt een goede versleutelde verbinding, de uitgebreide (groene) variant voegt daar een extra controle aan toe: de organisatie/persoon die het certificaat gebruikt is geverifieerd.
Voor het beschermen van gebruikersnamen/passwords/website, heb je dus meer dan voldoende aan een standaard certificaat. Tenzij je wilt dat iedere gebruiker van het forum zich er zeker kan voelen dat jij te vertrouwen bent, je kunt je afvragen of je dat wilt: iedere gebruiker kent jou als beheerder al (in zekere mate).

Weet niet of ej__ dit bedoeld, maar mij lijkt een 'standaard' certificaat ook afdoende, tenzij het om een betaald forum gaat.
Succes ermee!

Het klopt wat je zegt maar toch geeft een groene balk een vertrouwt gevoel en zo veel meer hoef je ook niet te betalen.

Het probleem is ondertussen opgelost, ik ga het niet op een sharehost (dit was ik ook niet van plan) zetten maar heb een host pakket gekocht met 2 eigen ip-adressen.
Eenmaal de 2 domains op de ip-adressen gezet kan ik het EV aanvragen en zullen beide domains versleuteld en een groene balk hebben, ook voor de subdomains kan ik een groene balk krijgen.

Het voegt uit eindelijk niks aan toe qua veiligheid, maar voor die paar tientjes extra een groene balk is alleen maar mooi mee genomen :)

Over de richt lijnen gesproken, dit is helemaal niet zo spannend als dat het is, dit gaat meer over controle dat alle gegevens die je opgeeft wel klopt en dat ze met een EV contact opnemen met het bedrijf, Afdeling HR en natuurlijk het op gegeven domain.
Zolang dat allemaal goed is voldoe je volledig volgens die richt lijnen dus daar maak ik me niet meer zorgen om.

Alvast bedankt voor jullie reacties :)
09-05-2011, 13:50 door 0101
Nog even een vraagje: stuurt je forum alleen de requests voor de login via https, zoals
<form action=https://...
of is de volledige website of op z'n minst het loginformulier standaard via https?
Anders heb je natuurlijk niets aan je mooie EV-certificaat en kun je je de procedure (https://www.startssl.com/?app=30#requirements) besparen door toch maar een "blauw" (gratis; https://www.startssl.com/?app=1) certificaat te nemen.
24-05-2011, 10:20 door VandeKreeke
Hallo Allemaal,

Zoals eerder hier gepost is de meerwaarde van een EV certificaat je eigen identiteit naar buiten uit te dragen. Door een EV certificaat weet een bezoeker welke organisatie achter een website zit. Een EV certificaat kan dus een toegevoegde waarde voor iedere website hebben, als je wilt dat de bezoekers jouw identiteit vertrouwen kan dit het beste met een EV certificaat.

Afhankelijk van de informatie op de website kiezen de meeste eigenaren voor een EV of organisatie gevalideerd certificaat. Bij een OV certificaat worden de organisatie gegevens wel gecontroleerd maar niet weergegeven in de taakbalk.
Belangrijk bij beide aanvragen is dat de domeinnaam geregistreerd staat op je bedrijfsnaam. En de aanvraag moet overeenkomen zoals je staat ingeschreven bij de KVK.

Succes met je aanvraag.

Ruud-Maarten
Networking4all


Door Anoniem: Beste Security.nl lezers,

Binnenkort willen we een website/forum lanceren met een Extended Validation SSL.
Altans dat is de bedoeling...

Je moet met dit certificaat volgens bepaalde EV richt lijnen voldoen voordat het pas mogelijk is.
Ik kon eigenlijk nergens vinden wat deze richt lijnen zijn, en wat ik me ook afvraag.
Als ik alleen een website en forum run, zonder betaling onderdelen. moet ik me alsnog zorgen maken over deze richt lijnen?

Nu lees ik dat een Organisatie validatie geen richt lijnen heeft in vergelijk met een Uitgebreide validatie.
Klopt dit ook? en wat maakt het grote verschil hiertussen? Op die mooie groene adressenbar na...

Organisatie validatie: https://www.sslcertificaten.nl/SSLCertificaatMDC
Uitgebreide validatie: https://www.sslcertificaten.nl/SSLCertificaatUitgebreidMDC

Hoop dat jullie me hier verder mee kunnen helpen, neem aan dat mensen hier op Security.nl al vaker met dat bijltje gehakt hebben.

Met vriendelijke groet,
Security.nl lezer
24-05-2011, 10:51 door ej__
[admin] Het oudere topic is gesloten [/admin]
24-05-2011, 11:06 door VandeKreeke
Ej,

Ik heb de regels van het forum doorgelezen. Mijn reactie was niet commercieel, enkel puur informatief.

Ruud-Maarten
Networking4all
24-05-2011, 11:52 door Anoniem
@Ej

erg overdreven reactie van je !!
de info was erg helder en duidelijk, hetgeen ik niet van iedereen kan zeggen
24-05-2011, 13:06 door SecOff
@ej
Doe eens even rustig zeg, zo wil je zelf ook niet behandeld worden neem ik aan?

Ik ben ook tegen commerciele uitingen in het Forum maar ik zie geen enkele poging tot verkoop.

Ruud-Maarten ondertekent alleen met de naam van het bedrijf waar hij werkt. Dat heeft voor mij meerwaarde omdat dan duidelijk is dat hij bij een organisatie werkt die met het onderwerp te maken heeft. Zowel om de kennis over het onderwerp van de schrijver in te kunnen schatten als weten dat er een commercieel belang mee KAN spelen.
24-05-2011, 13:09 door ej__
Heb je het verhaaltje gelezen, en ook de reactie bij het andere ssl topic? Dit heeft maar 1 doel. Verkoop.

En voor de marketing droids: EVssl heeft geen technisch toegevoegde waarde. Het is alleen marketing technisch interessant.

En wat voor zin heeft het om een topic van 1 jaar oud op te graven? Redactie is geinformeerd overigens.
24-05-2011, 13:20 door VandeKreeke
Ej

De reacties die ik heb geplaatst zijn allemaal informatief geweest en niet commercieel. Het andere SSL topic was ouder, hier heb ik op gereageerd aangezien nog niet alle problemen zijn opgelost. Chrome geeft nog een waarschuwing op die DNS naam.

Overigens heb ik ook de redactie geïnformeerd over je reacties. Zoals ik hierboven van anderen lees en zelf ook vind. Je bent een beetje kort door de bocht met reageren. Ik geef geen referenties naar onze producten of prijzen. Ik geef puur informatie over het topic, dit is ook niet in strijd met de forumregels.

Ruud-Maarten
Networking4all

Door ej__: Heb je het verhaaltje gelezen, en ook de reactie bij het andere ssl topic? Dit heeft maar 1 doel. Verkoop.

En voor de marketing droids: EVssl heeft geen technisch toegevoegde waarde. Het is alleen marketing technisch interessant.

En wat voor zin heeft het om een topic van 1 jaar oud op te graven? Redactie is geinformeerd overigens.
24-05-2011, 13:27 door ej__
Was jij soms zelf de TS? Om een overigens onjuist antwoord te kunnen geven op je eigen vraag? Je verhaal over inschrijving bij KvK is volstrekt onjuist overigens.

Ruud-Maarten: Sales Representative past: Service Merchandiser uhuh. Nee, hoor, puur toeval dat hij zijn bedrijfsnaam vermeld wil zien.
24-05-2011, 14:04 door Spiff has left the building
De genoemde andere thread waarin RM gepost had is inmiddels opgeschoond en gesloten door de Security.nl admin.
24-05-2011, 20:07 door Anoniem
Ach ja, maak niet zo'n groot probleem dat hij zijn bedrijfsnaam erbij vermeld. Ik ga toch ook niet meteen de politie bellen als er iemand aan de deur komt om iets te verkopen.
Hij heeft een duidelijke en heldere uitleg gegeven, dat is anders dan enkel en alleen maar reclame maken.
25-05-2011, 11:01 door ej__
@spiff: dat had een reden ;)
@anoniem: lekker makkelijk, als anoniem zoiets roepen. En de andere thread is niet voor niets gesloten. Daarnaast is de reactie inhoudelijk gewoon onjuist.
25-05-2011, 12:01 door Spiff has left the building
Door Spiff: De genoemde andere thread waarin RM gepost had is inmiddels opgeschoond en gesloten door de Security.nl admin.
Door ej__: @spiff: dat had een reden ;)
Weet ik, ej__ ;-)
Dat de Security.nl admin die andere thread heeft opgeschoond en gesloten laat zien dat die post in die andere thread ook in de ogen van Security.nl blijkbaar "niet OK" was. (Ook ikzelf had voor die post in die andere thread een "Reactie mogelijk niet OK" melding ingediend.)
Ik vermeldde het opschonen en sluiten van die andere thread hier, om jouw verhaal hier te ondersteunen.


Door Anoniem: Ik ga toch ook niet meteen de politie bellen als er iemand aan de deur komt om iets te verkopen.
Ik vind het tenminste even ongewenst.
En wanneer ik merk dat iemand manipuleert om een product te verkopen, dan zou ik bij verkoop aan de deur niet aarzelen de politie in te schakelen.


[wijziging: typo]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.