85% ssl-vpn-servers onveilig

85% van de ssl-vpn-servers past verouderde of onveilige encryptie toe. Hierdoor zijn de gegevens van de gebruikers onvoldoende beschermd, aldus securitybedrijf High-Tech Bridge. Het bedrijf deed onderzoek onder meer dan 10.000 openbaar toegankelijke ssl-vpn-servers van fabrikanten als Fortinet, Dell en Cisco.

Een ssl-vpn is een virtual private network (vpn) via een webbrowser. Bij deze vorm van vpn-dienst is het niet nodig om speciale software op een pc te installeren. Gebruikers kunnen zich er toegang tot webapplicaties, client/server-applicaties en interne netwerkverbindingen mee verschaffen.

Slv3 en sslv2
Ruim driekwart van de geteste ssl-vpn-servers zet nog steeds het onveilige sslv3-protocol in, tientallen gebruiken sslv2. Ook constateerden de onderzoekers dat ruim driekwart van de onderzochte servers een onbetrouwbaar certificaat gebruiken. Kwaadwillenden kunnen met man-in-the-middle-aanvallen gegevens onderscheppen.

Sha-1-algoritme

Bovendien is bijna driekwart van de certificaten met het, als onveilig bestempelde, sha-1-algoritme gesigneerd. Bijna de helft van de servers werkt met een onveilige sleutellengte voor hun rsa-certificaten. 10% van de ssl-vpn-servers die met OpenSSL werkt, is kwetsbaar voor het lek.

Aanmelden voor onze nieuwsbrief