Hej!

Vissa webhotell har SSL-certifikat installerat på sina egnas ervrar, andra inte.

I de fall webhotellet inte har detta installerat så får man ju då använda sig av Betalningstjänsten/företagets SSL-certifikat istället, vilket innebär att kunden kan känna sig lite osäker....

Skulle vilja veta från er som driver e-handel vad ni har för egna erfarenheter när ni är tvugna att använda er av Betalningstjänsten/företagets SSL-certifikat.

Finns det kunder som hellre har avstått från att handla?

Hur har ni gjort för att kunden ändå ska känna sig trygg och säker?

Skriv gärna era egna erfarenheter kring detta, vilka problem och konsekvenser detta har givit er.

/Jonas

Jag skulle nog rekommendera dig att skaffa ett eget SSL-certifikat. Det finns sådana som inte är alltför dyra, några hundralappar om året. Detta bör webbhotellet kunna installera på ditt konto (du behöver dock ett eget IP-nummer). Är du ensam i din bransch kanske du får kunder i alla fall, men om du har många och hårda konkurrenter kan en sådan sak spela stor roll.

Jag har ett eget från Verisign och betalade precis 820 Euro för 2 års förlängning...

// Mats

Ärlige grazzys certifikat-signering kostar 399 Euro / året annars.

Jag tror nog dui tjänar på att ha ett cert. Instantssl.com funkar fint och är billiga.

En sökning på 'ssl cert' eller 'ssl certifikat' WN ger endel läsvärda trådar.

Thomas

Loopia tillåter inte att man installerar SSL-cert på deras servrar.......

Tråkigt men sant. Vad var det som stod i Internetworld häromdagen.... :-)

/Jonas

Vi har använt oss av Thawte, som är billiga i jämförelse med Verisign. Nackdelen med SSL är ju att det inte går att köra virtuella värdar (virtual hosts) med SSL.

ok.

Även om jag har ett SSL-cert från Verisign hos dom som tillhandahåller betalningstjänsten så är det ju inte riktigt samma sak som om jag hade haft ett eget installerat på servern. Säkerheten är ju detsamma, men det är inte samma flöde så att säga.

Undrar bara hur mycket det avskräcker kunderna......


/Jonas

Jag skriver mycket om säkerheten och att man kan dubbelklicka på hänglåset o.s.v., har en känsla av att mina kunder känner sig extra trygga om dom ser att certet är utfärdat till Lastbryggan. Samt att jag tror att kunderna känner igen Verisign och därmed känner sig trygga.

Det är en förtroendesak mella kund och butik och hur det än är så är inte nivån på kunnandet om olika cert lika stor hos "vanliga kunder" som hos ex. medlemmarna på WN.

Det kostar att ligga på topp ;)

// Mats

Jag formulerar mig nog lite knasigt tror jag. sorry.

Dom som tillhandahåller betalningstjänsten (Pay & Read) har ju cert från verisign. Jag däremot har inte möjlighet att installera några cert, oavsett från vilken leverantör certet kommer ifrån på den server jag har. Jag får därför använda mig av P & R cert via deras proxy. (Lika säkert dock)

Då är frågan. Avskräcks kunden att handla när han/hon får upp varningsfönsterna....
Hur många backar då genom att klicka på "Nej/avbryt"

/Jonas

Är osäker på hur det funkar men är inte standardinställningen i IE att man inte får upp någon fråga. Jag vet att när jag installerade det första gången hade jag reggat det på lastbryggan.se utan "www" och när man då klickade sig till kassan (med "www") så fick man upp frågan, jag annulerade det certet och beställde ett nytt till www.lastbryggan.se och då slapp man just den frågan.

Prova att lägga nåt i korgen på Lastbryggan och gå till kassan så får du se om du får nån fråga.

// Mats

Men om man går direkt till https://lastbryggan.se så får man ju en förfrågan.
Det trådskaparen menar är vad jag har förstått, att man har en foobar.se, men certifikatet är utställt för www.webhotell.se.

Om man har ladressen https://www.foobar.se så kommer det upp en förfrågan om man vill fortsätta, för certifikatet är inte utställt på www.foobar.se, men är det kanske ett bättre alternativ att man har https://www.webhotell.se/foobar som adress? Då slipper besökaren varning, men nackdelen är att det blir en annan adress.

Om jag minns rätt är standardinställningarna i internet explorer att första gången man postar något över en http-förbindelse får man upp information om att data skickas okrypterat och kan avlyssnas etc.
Första gången man postar något över en https-förbindelse får man upp information om att det är krypterat och inte kan avlyssnas eller något liknande. I övrigt får man inte upp någon information om cert när man går in på en sida med ett cert utfärdat av exempelvis Verisign.

Om certet däremot är utfärdat av dig själv, om domännamnet inte stämmer överens med domänen i certet och liknande så får man upp en varningsruta om detta.

Jag tror inte att den genomsnittlige kunden funderar på hur det går till i normalfallet. Om det däremot är handel med känsligare grejer som Lastbryggans produkter (fick mig att tänka på en seriestrip där det står "vi levererar i anonyma paket", bara det att budbilen har en jättedildo på taket) är det förmodligen fler som vill vara säkra på att inte grannen får veta...

var finns de billigatse certifikaten?

www.cacert.org får du gratis cert, fast dom är inte betrodda av Microsoft.

Varför? Jo för Microsoft kräver en förmögenhet varje år för att dom ska få bli betrodda av Microsoft.

Således är det väl inte heller speciellt intressanta eftersom du själv kan generera ett certifikat med samma effekt.

De flesta använder fortfarande windows och internet explorer för att surfa.

/EDIT: Thawte fungerar utmärkt och är billiga. Verisign är kanske lite mer välkända men mycket dyrare.

Har under många år använt mig av Thawte; fungerar utmärkt, bra service och bra priser.

tack =)

Det går visst att göra virtuella hostar med SSL. Det går inte att köra "Name based" virtual hosts, däremot ip-baserade.

Rent tekniskt bör named based fungera även med SSL; problemet är bara att servern inte vet vilket certifikat som ska användas förrän det är för sent. Därför bör det resultera i säkerhetsvarningar. Själv har jag faktiskt inte ens provat.

Med TLS Extensions som kommer komma i IE 7 och säkert också i Firefox så kommer det att funka med virtual hosts. Tror det bara är senaste versionen av Opera som har stöd för det än så länge.

Men det kommer ju dröja ett tag innan alla eller tillräkligt många i alla fall har uppdaterat sina webbläsare.

Arbetet med HTTPS i IE 7 kan man läsa lite mer om här: http://blogs.msdn.com/ie/archive/2005/10/22/483795.aspx

Mycket intressant läsning. Och som jag uppfattar det blir det ännu jobbigare att inte ha riktiga certifikat för säkra anslutningar framöver.