xDSL.at

[DerNoob]

Hallo,

ich weiss, dieses Thema gabs hier schon oft und natürlich hab ich auch viele Threads dazu gelesen, dennoch fällt mir die Entscheidung nach einem geeigneten Webhoster extrem schwer, da es mittlerweile schon so viele Anbieter gibt.
Ich suche speziell nach einem Webhoster, auf dem ich meinen Webshop (oscommerce) betreiben kann und der auch eventeull SLL Zertifikate unterstützt. Viele Anbieter bieten auch SSL-Proxy, aber soweit ich weiss gibt es da einen Unterschied zw. SSL Zertifikate und SLL-Proxy, oder? falls ja, was genau wäre der Unterschied?
Würdet ihr eher einen deutschen oder einen österreichischen Anbieter bevorzugen? Deutscher Anbieter wär mir eigentlich wegen den Preisen lieber, aber wäre andererseits für die östereichischen Kunden von der "Schnelligkeit" her langsamer?!?!?
Betreibt jemand von euch zufällig einen Webshop basierend auf oscommerce? wenn ja, bei welchem Provider und wie sind die Erfahrungen?

[wavenetuser]

ssl proxy bedeutet eine domain wie zb: ssl.xt/deine-domain.at/
der vorteil: kostet nichts (oder der anbieter ist so geizig und verlangt ne einrichtungsgebühr) und bietet dem kunden sicherheit ohne warnmeldungen.
ssl zertifikat kostet je nach anbieter zwischen 20 und 300 €
provider findest du unter webhostlist.de - ansonsten googlen.

requirements: php4 / mysql <5 /register globals on
alles andere geht zwar auch, ist aber mit arbeit verbunden.

wünsche dir viel glück bei der suche

edit: alternativ kannst du dir auch was aufschwatzen lassen - bekommst sicher tolle angebote hier im forum . . .

[Steffff]

inode zb. bietet keinen ssl proxy an, nur ein echtes zertifikat, was, meines erachtens, nur bei extrem wichtigem interessant ist.

habe auch einen account bei hostprofis: hier gibts ssl proxy (zb. ssl.hostprofis.com/deinedomain) mit zusatzeinrichtungsgebühr. bin recht zufrieden damit (man kann ja nur zufrieden [geht] oder unzufrieden [geht nicht] sein).

in dem fall paßts. wanrmeldung kommt auch. das mit register globals sollte eigentlich immer = off sein, ist halt ein haken bei oscommerce, der drauf aufbaut; gibt zwar hacks dafür, aber dann funktionieren nicht mehr alle module und erweiterungen (register globals=on [vorallem oscommerce] wird in zukunft immer weniger vertreten sein), daher würde ich dir xtcommerce empfehlen, de rist auf "off" optimiert.

[wavenetuser]

bei dementsprechender programmierung ist es egal ob on oder off - negativ wie positiv ...

Zum SSL-Proxy:

oder der anbieter ist so geizig und verlangt ne einrichtungsgebühr

[M@rio]

inode zb. bietet keinen ssl proxy an, nur ein echtes zertifikat, was, meines erachtens, nur bei extrem wichtigem interessant ist.

Doch, nur bei Inode nennen sie es "shared-SSL".

Was die "Wichtigkeit" angeht, würde nicht sagen, daß das was damit zu tun hat. Der Punkt ist, wenn es nur um Verschlüsselung geht, ist shared-SSL/SSL Proxy nicht sicherer/besser als ein selbstgemachtes Zertifikat. Wenn es aber darum geht die Identität/Echtheit des Seiten- oder Shopbetreibers zu verifizieren ist ein Proxy Zertifikat genauso unbrauchbar wie ein selbstgemachtes.

[wavenetuser]

@ Mario: Shared-SSL und Warnmeldungen müssen nicht unbedingt zutreffen.
Dagegen sind selbst gemachte Zertifikate wirklich unbrauchbar denn diese sind nicht zertifiziert und deshalb auch mit der unschönen Fehlermeldung verbunden.

[jutta]

fuer die bonitaet und kaufmaennische zuverlaessigkeit des unternehmens steht sowieso keine zertifizierungsstelle gerade. und das ist das einzige was mich als potentielle kundin interessiert. insoferne stoeren mich die warnmeldungen in keiner weise.

[M@rio]

@ Mario: Shared-SSL und Warnmeldungen müssen nicht unbedingt zutreffen.
Dagegen sind selbst gemachte Zertifikate wirklich unbrauchbar denn diese sind nicht zertifiziert und deshalb auch mit der unschönen Fehlermeldung verbunden.

Das ist richtig, bei shared-SSL bekommst du kein Warnungs-Popup. Trotzdem ist es nicht im geringsten sicherer als ein selbstgemachtes Zertifikat! Schließlich ist das Zertifikat nur auf den Provider und nicht auf den Seitenbetreiber ausgestellt.
Es wird also nur bewiesen, daß die Seite bei Provider XY liegt sonst gar nichts!

[hannibal218bc]

Trotzdem ist es nicht im geringsten sicherer als ein selbstgemachtes Zertifikat! Schließlich ist das Zertifikat nur auf den Provider und nicht auf den Seitenbetreiber ausgestellt.

Das ja, aber wenn ein Angreifer ein selbstsigniertes Zertifikat (zB. für eine Man-In-The-Middle-Attacke) verwendet, fällts auf. Die geteilten Zertifikate stellen zumindest sicher, dass man tatsächlich mit dem Rechner verbunden ist, mit dem man verbunden zu sein glaubt.
Oder, dass der Angreifer ein passendes Zertifikat von einer vertrauten Zertifizierungsstelle erhalten hat (ja, auch das soll vorkommen).

Selbstsignierte Zertifikate machen meiner Meinung nach nur dort Sinn, wo man das Zertifikat selbst oder das eigene Wurzelzertifikat an die Personen/Computer verteilt, die dann darauf zugreifen sollen.

-hannes

[Fronk]

Man sollte natürlich auch bedenken, dass SSL-Zertifikate in erster Linie mal zur Verschlüsselung der übertragenen Daten dienen, d.h. wo man ohne viel Aufwand nichts mitsniffen kann (kann schon, aber nützt nix)... Wenns nur darum geht, kanns auch gern selbst signiert sein.
Nur wo's halt wirklich um sensitive Daten geht, die um abslolut keinen Preis von Dritten ausgespäht werden können sollen, ist halt ein offiziell signiertes notwendig. Sollte jeder selbst wissen, wieviel Sicherheit er um welchen Preis will.

[wavenetuser]

seien wir mal realistisch - in Wahrheit gehts doch nur darum, den Kunden ein Schloss ohne Warnmeldung anzubieten.
Wie häufig kommt es schon vor dass Daten auf diese Weise "ausgespäht" werden ?
Brauchen sie auch nicht. Der dumme Kunde ist blöd genug, seine Daten (freiwillig oder gezwungenermaßen) auf verschiedenen Homepages anzugeben.
Und bei Kreditkarten haftet eh das KK-Unternehmen.
Im Gegensatz: Ich habe Kunden erlebt die bei einer Warnmeldung bez. ungültigem Zertifikat den Browser geschlossen haben. Dann ist der Kunde weg und der Umsatz dahin.

[jutta]

> Ich habe Kunden erlebt die bei einer Warnmeldung bez. ungültigem Zertifikat den Browser geschlossen haben. Dann ist der Kunde weg und der Umsatz dahin.

bei kund/inn/en-freundlichen shops gibt es daher verstaendliche erklaerungen (wozu ist ein verschluesselter zugang gut?, was passiert da? ...), die auswahl zwischen verschluesseltem und unverschluesseltem zugang (aeltere browser und betriebssysteme!) und die moeglichkeit, die kreditkartendaten per fax oder telefon zu uebermitteln.

siehe zb amazon http://www.amazon.de/gp/help/customer/d ... eId=504974
gibt es aber auch bei kleineren shops, dort kann man den telefon-kundendienst halt nur zu bestimmten zeiten erreichen oder muss damit rechnen, dass das fax erst am naechsten werktag bearbeitet wird.

[hannibal218bc]

Man sollte natürlich auch bedenken, dass SSL-Zertifikate in erster Linie mal zur Verschlüsselung der übertragenen Daten dienen, d.h. wo man ohne viel Aufwand nichts mitsniffen kann (kann schon, aber nützt nix)... Wenns nur darum geht, kanns auch gern selbst signiert sein.

Wie gesagt: nur dann, wenn die CA oder das Zertifikat an alle Teilnehmer verteilt wird. Sonst überträgst Du zwar die Daten verschlüsselt, weißt aber wieder nicht, an wen! -- Und lieferst bei Man-In-The-Middle dem Angreifer alles frei Haus.


-hannes