信息安全

当心了!90%的 SSL VPN 使用不安全或过时的加密技术

很多 SSL VPN 没有使用最新的加密技术。

信息安全公司 ——  High-Tech Bridge 进行了一项关于 SSL VPN 的调查。研究发现 90% 提供 SSL VPN 服务的服务器并没有提供应有的安全服务,主要是因为这些服务器使用了不安全以及过时的加密技术。

SSL VPN 不同于传统的 IPSec VPN ,因为它可以直接在一个标准的 Web 浏览器中使用,不需要在客户端上安装额外的专用软件。 SSL VPN 安装在服务器上,客户端通过浏览器单独连接到 VPN 。用户浏览器和 VPN 服务端的连接通过 SSL 或 TLS 协议加密。

76% 的 SSL VPN 使用不受信任的证书

High-Tech Bridge 的研究人员说他们分析了随机选择的 10,436 台 SSL VPN 服务器,发现了大多数都极不安全。他们声称 77% 的 SSL VPN 使用 SSLv3 或 SSLv2 来加密流量。而这两个版本的 SSL 现在已经被认为是不安全的。部分国际和国家的安全标准已经禁止使用它们了,如: PCI DSS 和 NIST SP 800-52 。

我们暂且忽略使用的 SSL 版本,但是 76% 的 SSL VPN 服务器还使用了不受信任的证书,这些没有被证实的 SSL 证书可以被攻击者模仿,从而对不知情用户发起中间人攻击。 High-Tech Bridge 的专家说导致这样的情况是因为很多 SSL VPN 服务器很少更新默认的预装证书。

一些 VPN 仍然使用 MD5 来签名证书。

此外,研究人员还指出,74% 的证书使用 SHA-1 签名,5% 的证书使用 MD5 哈希,这些技术都是被认为已经过时了。41% 的SSL VPN 也在他们的 RSA 证书上使用长度为 1024 的不安全密钥。在过去的几年里,任何长度小于 2048 的 RSA 密钥被认为是极不安全的。

更糟的是,十分之一的 SSL VPN 服务器仍然存在两年前发现的心脏出血漏洞,尽管有可用的补丁。研究人员说在所有被测试的 SSL VPN 中,只有 3% 的服务器是符合 PCI DSS 要求的,没有服务器符合 NIST (美国国家标准与技术研究所) 的标准。

High-Tech Bridge 也提供了一个供用户检测他们的 SSL VPN 和 HTTPS 网站是否安全的免费工具。

该安全工具使用地址https://www.htbridge.com/ssl/

SSL VPN 的评级分布( F 到 A 安全等级依次增加):

90-percent-of-all-ssl-vpn-use-insecure-or-outdated-encryption-501038-3

 

Linux Story 温馨提示,如需了解详情请访问原文链接

 

原文链接:http://news.softpedia.com/news/90-percent-of-all-ssl-vpn-use-insecure-or-outdated-encryption-501038.shtml

本文链接:http://www.linuxstory.org/90-percent-of-all-ssl-vpn-use-insecure-or-outdated-encryption

转载请注明,否则将追究相关责任。

对这篇文章感觉如何?

太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0
TO LIVE IS TO CHANGE THE WORLD

    You may also like

    Leave a reply

    您的电子邮箱地址不会被公开。 必填项已用*标注

    此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

    More in:信息安全

    信息安全

    修复正向保密

    对于 TLS(保障网络通信提供安全及数据完整性的一种安全协议),可能最大的抱怨是, TLS 握手动作缓慢,传输加密会造成很多 CPU 开销。当然,如果配置正确这些都不是问题。最重要的通过 TLS 提高访客访问你网站的用户体验的一个特征是会话恢复。会话恢复是指当再一次连接到那些主机时,通过存储和重用以前的秘密信息。这大大减少了网络延迟和 CPU 的使用量。我们可以在网络服务器和代理中启用会话恢复,但是很容易违背正向保密。为了找出为什么有实际标准的 TLS 库(即 OpenSSL )会是一件坏事和如何避免搞砸 PFS ...
    信息安全

    福利发放!Google 提供免费 DDoS 攻击防护服务

    Google 的 Project Shield 旨在保护互联网上的新闻报道和言论自由,并且已经提供 DDoS 攻击的免费防护。DDoS(分布式拒绝服务)攻击,你可能知道它是通过分布式的海量流量来使目标网站宕机或响应延迟,许多网站深受其害。它经常被别有用心的用于针对某个网站的具体观点,这就是为什么 Google 推出能够保护新闻网站和人权网站(包括选举监督网站)的 Project Shield。目前,以上是可以申请保护的网站。该项目的目的是为小网站提供免受大规模流量攻击的可行选择,Google 通过自身的基础设施来过滤吸收这些恶意流量。
    信息安全

    Linux+开源工具为你的家庭网络保驾护航

    安全问题现在其实还处于一个初级阶段,而且似乎在很长一段时间都不会有太大的改变。但是随着越来越多的人将信息技术运用到他们生活的方方面面,我们需要认真严肃地考虑家庭网络安全的问题了。而Linux + 开源工具就可以很好地为你的家庭网络保驾护航 。
    信息安全

    开源的代码就真的绝对安全?

    开源并不能使软件绝对的安全,某种意义上来讲开源给人们提供了一种保障代码安全的一种手段,想要减少软件,代码的漏洞,生产出更加安全的代码还需要更多的方法和努力。