Компания High-Tech Bridge провела масштабное исследование сцелью выяснить текущее состояние дел нарынке SSL VPN-сервисов. Как оказалось, 77% проверенных SSL VPN-серверов используют ненадежный протокол SSLv3, тогда как несколько десятков серверов применяют версию SSLv2, сообщили CNews вHigh-Tech Bridge.
Как известно, внастоящее время ряд стандартов безопасности, втом числе PCI DSS илиNIST SP 800-52, запрещает использование протокола SSLv3 всвязи сналичием многочисленных уязвимостей, подчеркнули вкомпании.
Исследование также показало, что 76% SSL VPN-серверов используют недоверенные SSL-сертификаты. Данные сертификаты позволяют удаленному атакующему припомощи атаки «человек посередине» осуществить перехват трафика. 74% сертификатов подписаны сприменением SHA-1, а 5% используют устаревший хэш-алгоритм MD5, рассказали вHigh-Tech Bridge.
Согласно полученным данным, 41% SSL VPN-серверов используют цифровые сертификаты, содержащие ключи RSA длиной 1024 бита, а 10% серверов, поддерживающих OpenSSL, подвержены уязвимости Heartbleed. Как выяснилось, только 3% серверов соответствуют стандартам PCI DSS, однако ни один изпроверенных серверов несоответствует требованиям Национального института стандартов итехнологий США (The National Institute of Standards and Technology, NIST).
Распределение баллов между SSL VPN-серверами взависимости отуровня надежности SSL/TLS-шифрования
Поитогам исследования только 3% проанализированных SSL VPN-серверов получили высшую оценку надежности SSL/TLS-шифрования («A»), тогда как 86% заработали наименьший балл («F»), отметили вкомпании.
Об исследовании
Исследование проводилось сиспользованием бесплатного SSL-сканера, разработанного компанией High-Tech Bridge. Эксперты проверили 10 436 выбранных вслучайном порядке общедоступных SSL VPN-серверов крупных вендоров, включая Fortinet иDell.