Ongeveer 9 op 10 van SSL VPN’s gebruikt een verouderde of onveilige encryptie, waardoor gegevens makkelijk onderschept kunnen worden.

 
Dat zegt het Amerikaanse bedrijf High-Tech Bridge. In een studie namen ze SSL/TLS-encryptie onder de loep van grote spelers Cisco, Fortinet en Dell en werden meer dan 10.000 publieke SSL VPN servers getest. De resultaten waren bedroevend.
 
Het merendeel van de SSL VPN’s gebruikten nog steeds het SSLv3-protocol, afgeraden sinds 2011, en het SSLv2-protocol, dat als onveilig werd bestempeld halverwege 2015. Daarnaast gebruikt meer dan driekwart van de onderzochte SSL VPN’s een onbetrouwbaar SSL-certificaat. Hiermee wordt bijvoorbeeld voor een phisher makkelijker om een website te na te bootsen om zo aan gegevens te raken. De meeste certificaten hebben daarbij nog eens een onveilig algoritme SHA-1 dat binnenkort door de meeste browsers niet meer wordt geaccepteerd. Ten slotte is 10% van de SSL VPN servers die beroep doen op OpenSSL nog altijd kwetsbaar voor de catastrofale Heartbleed-bug uit 2014.
 
High-Tech Bridge concludeerde dat minder dan 3% van de onderzochte SSL VPN’s up-to-date en, bovenal, veilig waren. De CEO, Ilia Kolochenko reageert: “Veel mensen associëren SSL/TLS-encryptie vooral met HTTPS protocol en web browsers, en onderschatten het gebruik in andere protocols en internettechnologieën.” Op hun site kan je gratis je SSL server testen.