На данный момент в вопросе обеспечения информационной безопасности все более важное значение приобретает шифрование. Сотрудниками компании High-Tech Bridge было проведено масштабное исследование текущего положения дел на рынке SSL VPN-сервисов. Специалисты осуществили исследование, используя разработанный компанией бесплатный SSL-сканер.
Экспертами в случайном порядке было проверено 10436 общедоступных SSL VPN-серверов Cisco, Dell и Fortinet.
Ненадежным протоколом SSLv3 пользуются 77% проверенных SSL VPN-серверов, в то время как на нескольких десятках серверов применяется версия SSLv2. На данный момент некоторые стандарты безопасности запрещают применение протокола SSLv3 ввиду наличия множества уязвимостей.
Выяснилось, что 76% SSL VPN-серверов пользуются не доверенными SSL-сертификатами, благодаря которым удаленный злоумышленник может перехватывать трафик с помощью атаки типа man-in-the-middle. По результатам исследования оказалось, что 74% сертификатов имеют подпись с использованием SHA-1, а 5% применяют устаревший хеш-алгоритм MD5.
По информации исследователей, 41% SSL VPN-серверов применяет цифровые сертификаты, которые содержат ключи RSA длиной 1024 бита, а 10% серверов, которые имеют поддержку OpenSSL, подвержены уязвимости Heartbleed. Исследование показало, что лишь 3% SSL VPN-серверов имеют самую высокую оценку надежности SSL/TLS-шифрования.