SSL-Zertifikat für kleinen Webshop?

[kaktux]

Moin,

welches Zertifikat würdet ihr für einen kleinen Webshop empfehlen?
Bisher hab ich nur eine Webseite, bei der ich von allinkl ein Comodo Zertifikat geholt habe. Allerdings habe ich gerad ein wenig geschaut und festgestellt, das die vergleichsweise teuer ist. Nicht das ich auf Teufel komm raus billig möchte - aber die Preise scheinen da ja von Anbieter zu Anbieter stark zu schwanken.
Z.B. hatte ich mir EV Zertifikate angeschaut - aber die werden wohl seit Anfang des Jahres garnicht mehr im Firefox oder Chrome angezeigt - sind also Ihr Geld kaum wert (der Anteil derer, die extra klickt um zu schauen ist wohl arg gering).
Zumal ich schaue meine Domain und den shop (shop.meinedomain.de) entweder mit zwei Zertifikaten oder einem Wildcard zu versorgen.

Bis vor ner Stunde hatte ich da nicht wirklich Ahnung von den Unterschieden - und bisher einfach das genommen, was der Hoster empfholen hat. Ob es Unterschiede bei der Sicherheit etc. zwischen den Anbietern ist, ist mir nicht wirklich klar - bzw. welcher zu empfehlen ist, welcher nicht.

Was würdet ihr da empfehlen? Und wo holt ihr eure Zertifikate?
Lets encrypt kenne ich - allerdings weiß ich nicht, ob das für einen webshop unbedingt seriös wirkt bzw. Nachteile hat.

 

[Funksignal]

Lets Encrypt wird von allen gängigen Browsern als vertrauenswürdig eingestuft - ist also seriös.

-> Lets Encrypt nehmen und fertig ;-)

P.S. CB verwendet auch ein Lets Encrypt Zertifikat, kann also nicht soo unseriös sein ^^

 

[GrumpyCat]

Vor allem ist Comodo SO VIEL SICHERER: https://heise.de/-3354229 (was macht Comodo eigentlich? FAXEN die die SSL-Anträge oder wie?)

Und SERIÖSER sind Comodo auch voll! So sehr, dass sie sogar versucht haben, sich "Let's Encrypt" als Markennamen zu sichern. Fair Play wie aus dem Buche! https://letsencrypt.org//2016/06/23/defending-our-brand.html

 

[DeusoftheWired]

Lets encrypt kenne ich - allerdings weiß ich nicht, ob das für einen webshop unbedingt seriös wirkt bzw. Nachteile hat.

Da kommt wieder dieses furchtbare deutsche Denken „Was nichts kostet, kann nichts taugen“ durch. Das sollte man mindestens für alles Nichtphysische wie Programme oder eben auch Zertifikate ablegen. Mit Let’s Encrypt hat Mozilla erstens dafür gesorgt, daß weltweit viel mehr Leute nach Snowden den Verkehr ihrer Seite verschlüsselt haben, zweitens die Zertifikatsmafia stark eingedampft und drittens die Handhabung von Zertifikatserstellung sowie -erneuerung stark vereinfacht bzw. automatisiert und der Menschheit damit einen riesigen Gefallen getan.

Wer Let’s Encrypt als unseriös einstuft, wird von den Seriösen als DAU eingestuft.

 

[DerGoblin2k]

Mit Lets encrypt macht man nichts verkehrt. Wichtig ist aber, das der Hoster das auch unterstützt. Bei v- oder RootServer ist das kein Problem, da kann man das selber einrichten. Bei SharedHosting, sieht die Sache schon wieder anders aus.

Achja, und ich denke mal, dass nur die wenigsten Shop-Besucher das Zertifikat überprüfen. Hauptsache es ist SSL

 

[GrumpyCat]

...und auch nicht vergessen, https://www.ssllabs.com/ssltest/ laufen zu lassen, wenn's fertig ist. Das Zertifikat ist egal, wenn nachher der Webserver kaputt konfiguriert ist (was bei Shared Hosting allerdings häufiger der Fall sein wird).

 

[tollertyp]

Let's Encrypt ist ja genau deshalb kostenlos, damit es quasi keine Ausrede ("zu teuer") mehr gibt, kein SSL zu verwenden...

AllInkl unterstützt Let's Encrypt ja sogar direkt.

 

[RalphS]

Webshop und LE? Ist das euer Ernst?

Gut, vielleicht steh ich damit alleine auf weiter Flur. Aber wenn ich nen webshop(!) seh mit LE, dann kauf ich da jetzt nicht und nie wieder. Geld damit verdienen und dann am Zertifikat sparen? plus Seriösität ist was anderes. Von nem Webshop erwarte ich inzwischen EV. Kleiner WS ist da natürlich was schwieriger, weil Kosten... aber zumindest IMO ist das eine notwendige Investition.

Ssl ist vertrauen. Webshop braucht Vertrauen, sonst geb ich da kein Geld aus. Neue unbekannte Webshops haben hier ein Problem, weil kennt ja keiner, also müssen sie irgendwie in Vorleistung gehen und LE ist nicht Vorleistung.

Denn LE kann jeder, sogar der letzte Betrüger aus Klauwegistan.

 

[DerGoblin2k]

Webshop und LE? Ist das euer Ernst?

Gut, vielleicht steh ich damit alleine auf weiter Flur. Aber wenn ich nen webshop(!) seh mit LE, dann kauf ich da jetzt nicht und nie wieder. Geld damit verdienen und dann am Zertifikat sparen? plus Seriösität ist was anderes. Von nem Webshop erwarte ich inzwischen EV. Kleiner WS ist da natürlich was schwieriger, weil Kosten... aber zumindest IMO ist das eine notwendige Investition.

Ssl ist vertrauen. Webshop braucht Vertrauen, sonst geb ich da kein Geld aus. Neue unbekannte Webshops haben hier ein Problem, weil kennt ja keiner, also müssen sie irgendwie in Vorleistung gehen und LE ist nicht Vorleistung.

Denn LE kann jeder, sogar der letzte Betrüger aus Klauwegistan.

Für sowas gibt es thrusted Shops.. Das Zertifikat ist wohl wirklich erstmal peng

 

[Hayda Ministral]

Mal so ins Blaue hinein (ich habe selbst bisher keine Berührungspunkte, hab nur am Rande mitbekommen wie der Hobby-Admin unseres Vereins es eingerichtet hat): Betrachte nicht nur die Kosten für das Zertifikat sondern auch Laufzeit und wie der Prozess zur Aktualisierung aussieht. Ein abgelaufenes und damit ungültiges Zertifikat ist in meinen Augen schlechter als kein Zertifikat.

 

[Madman1209]

Hi,

ich sehe auch absolut kein Problem mit Let's Encrypt. Es geht hier auch erstmal nur um eine verschlüsselte Übertragung. Klar, große Certs können mehr - aber als kleiner Webshop sehe ich da absolut kein Problem. Sicher ist EV schöner, aber das kann man im Zweifel immer noch nachziehen. Im Gegensatz zu Leuten, die gar kein SSL einsetzen finde ich das immer noch eine sehr gute Lösung.

VG,
Mad

 

[DerGoblin2k]

Mal so ins Blaue hinein (ich habe selbst bisher keine Berührungspunkte, hab nur am Rande mitbekommen wie der Hobby-Admin unseres Vereins es eingerichtet hat): Betrachte nicht nur die Kosten für das Zertifikat sondern auch Laufzeit und wie der Prozess zur Aktualisierung aussieht. Ein abgelaufenes und damit ungültiges Zertifikat ist in meinen Augen schlechter als kein Zertifikat.

Die Aktualisierung findet automatisch alle drei Monate statt, bekommt man eigentlich nicht mit.

 

[kaktux]

Ich nutz lets encrypt auf meinen privaten Seiten auch - finde es eine gute Sache. Typisch Deutsch ist also Unsinn. ich habe nicht geschrieben das ich le unseriös finde - also macht ne Tirade in der Richtung null Sinn und ertappt einen eher selber als dau. Da steht: Shop+LE wirkt nicht seriös.

Für privaten Gebrauch ok - keine Sau juckts. Aber ich sehe es beim beruflichen eher wie RalphS. Es wirkt nicht wirklich seriös. Klar macht es technisch keinen Unterschied - aber Lets encrypt bietet nunmal keine Organisationsvalidierung. Ergo kann da Hinz-und Kunz hinterstehen - man weiß es nicht.
Und das ist - auch wenn kaum einer reinschaut - ein Muss in meinen Augen für ne seriöse Firma - besonders wenn sie was an gewerbliche Kunden (gehts bei mir drum) verkaufen möchte.
Trusted Shops macht für mich keinen Sinn - da wie gesagt gewerbliche Kunden angesprochen werden sollen. Da bringen mir die Zertifizierungen nichts.

EV halte ich - da Chrome und Firefox die nicht mehr anzeigen - für überteuerten Unsinn. Aber Name, Adresse im Zertifikat ist schon was. Wobei wie gesagt die Preise schon stark schwanken - das find ich daran das bescheuerte. Gibt ja zig Anbieter - was auch gut ist (z.b. wenn alle LE nutzen macht das auch wenig Sinn - dann liegt beim Ausfall dort alles blank). Aber den Sinn dahinter das nen Symantec Zertifikat teils das 10fache von nem GlobalSign kosten soll - den muss man nicht verstehen. Darauf wollte ich mit der Diskussion heraus.

Es geht hier wie gesagt nicht um Domainvalidierung - sondern um den Vergleich organisationsvalidierter Zertifikate. Hätte ich vielleicht dazuschreiben sollen.

 

[tollertyp]

Die wenigsten schauen sich doch das Zertifikat an, wichtig ist, dass es ein gültiges Zertifikat ist. Wie seriös ein Zertifikatsausteller ist, kann doch eh kaum jemand beurteilen...

 

[Bob.Dig]

Also wenn du nicht gerade irgendwas verkaufst was IT-Profis anspricht, warum nicht LE. Wenn doch, dann Fragestellung umformulieren. 😉

 

[tollertyp]

Was hat das mit IT-Profis zu tun?
Also Linux ist kostenlos, und dennoch würde ich nicht denken, dass jemand mit einem Linux-Server unseriös wäre...

 

[Bob.Dig]

@tollertyp Ich hab mich auf den TE bezogen und quasi deine Aussage vor meinem Post wiederholt.

 

[tollertyp]

Ich meine halt: Selbst für einen IT-Profi ist Let's Encrypt doch nicht zwingend ein Makel... also wenn ich mir den Pfusch der ganzen Zertifizierungsstellen anschaue... wichtig ist ja, dass man dem Zertifikat als Ganzes Glauben schenkt (sofern man es wie gesagt überhaupt anschaut).

 

[Bob.Dig]

@tollertyp Dem TE ging es wohl um Vertrauenswürdigkeit. Die ist natürlich nur mit einem möglichst teuren Zertifikat herzustellen. 😉

 

[tollertyp]

Eben :-)