De beveiliging van 90 procent van de SSL VPN's is verouderd of op andere manier niet op orde, blijkt uit een onderzoek van High-Tech Bridge (HTB). Het onderzoekbureau scande ruimde 10.000 willekeurig gekozen VPN's die vanaf internet benaderbaar zijn. De VPN's waren opgezet met apparatuur van verschillende leveranciers.

Het meest in het oog springende probleem was dat meer dan drie kwart van de VPNs het inmiddels niet meer ondersteunde SSLv3 protocol gebruiken. Sommigen gebruikten zelfs nog SSLv2. Daarbij komt nog dat ook meer dan 75 procent een certificaat gebruikt dat niet vertrouwd is. 

Verder heeft 74 procent van de certificaten een SHA-1-ondertekening die al geruime tijd als onveilig wordt beschouwd en vanaf 1 januari 2017 door de meeste browsers zelfs niet meer wordt geaccepteerd. De encryptie die 41 procent van de VPN's aanbrengt op het verkeer komt tot stand met behulp van een 1024-bits sleutel. De minimale sleutellengte voor een veilige encryptie is al geruime tijd 2048 bits. Ook vonden onderzoekers dat nog 10 procent van de VPN's kwetsbaar waren voor Heartbleed door het gebruik va een ongepatchte versie van het OpenSSL-protocol.

Het beveiligingsbedrijf HTB heeft een website waarop iedereen de beveiliging van zijn VPN kan testen. 

Alles bij de bron; AutomGids