Open Source im professionellen Einsatz

90 Prozent der SSL-Implementierungen für SSL-VPN sind unsicher oder veraltet

29.02.2016

Die Genfer Security-Firma High-Tech Bridge hat die SSL-Implementierungen von SSL-VPN-Servern untersucht. In 90 Prozent aller Fälle sei SSL unsicher oder veraltet.

309

SSL VPNs lassen sich mit einfachen Webbrowsern nutzen, der User braucht also keinen VPN-Client. Für ihre Studie habe die Firma 10 436 öffentlich erreichbare SSL-VPN-Server gescannt und nun die Ergebnisse in einem Blogeintrag veröffentlicht.

Demnach nutzen 77 Prozent der Anbieter SSLv3, das als unsicher gilt, Stichwort: Poodle. Es gibt sogar eine eigene Website, die beim Deaktivieren von SSLv3 behilflich sein will. Einige der Seiten verwenden gar noch SSLv2, das bereits seit 1996 als unsicher gilt und damals von SSLv3 abgelöst wurde.

Weiter benutzen 76 Prozent der Anbieter nicht vertrauenswürdige SSL-Zertifikate. Angreifer können dies für einen Man-in-the-Middle-Angriff nutzen. Meist verwenden diese VPN-Portale die vom Anbieter der Software vorinstallierten Zertifikate. Weiterhin verwenden 74 Prozent der Zertifikate unsichere SHA-1-Signaturen, welche die Mehrheit der Browserhersteller demnächst ausrangieren möchte. Fünf Prozent setzen gar auf MD5. 41 Prozent der Anbieter wählen eine RSA-Schlüssellänge von 1024 Bit, als sicher empfohlen sind aber 2048 Bit. Zudem ist immerhin noch jeder zehnte der SSL-VPN-Anbieter anfällig für Heartbleed-Angriffe.

Ob man ein sicheres SSL verwendet, lässt sich auf der webseite von High-Tech Bridge testen. Optional zeigt eine Karte die Testergebnisse an.

Wer nun seinen Server sicher machen möchte, kann sich an verschiedenen Richtlinien orientieren. Einerseits gibt es die NIST-Guidelines [PDF], andererseits die PCI DSS [PDF]. Erstere stammen vom amerikanischen National Institute of Standards and Technology, letztere vom international besetzten PCI Security Standards Council, das weltweite Sicherheitsstandards etwa für die Zahlung per Kreditkarte setzt. Lediglich drei Prozent der untersuchten SSL-VPNs erfüllten die PCI-DSS-Richtlinie, kein einziger Anbieter kam allen NIST-Empfehlungen nach.

Wer nun wissen möchte, welche SSL-VPN-Provider gut abgeschnitten haben, wird nicht fündig. High-Tech Bridge hat lediglich die prozentualen Anteile veröffentlicht. Allerdings lassen sich Dienste über die Webseite kostenlos testen. Setzt man allerdings kein Häkchen unter die Suchanfrage, landen die Ergebnisse für alle sichtbar auf einer Übersichtkarte.

Ähnliche Artikel

  • Schutz(be)dürftig

    Ein VPN strahlt Sicherheit aus - aber wie es um sie tatsächlich bestellt ist, bleibt meist im Dunkeln. Jenseits der drei wichtigen Protokolle SSL, SSH und IPsec finden sich fast nur Applikationen mit gravierenden Mängeln. Das Linux-Magazin erklärt die Hintergründe und beschreibt Auswege.

  • Let's Encrypt: Eine Million Zertifikate

    Let's Encrypt hat einen Meilenstein geknackt: Das freie Zertifizierungsprojekt veröffentlichte kürzlich das millionste Zertifikat.

  • Gartner-Statistik: Weltweiter Servermarkt wächst weiter

    Die aktuelle Serverstatistik der Marktforscher von Gartner meldet für Anfang 2008 weltweit weiter wachsende Umsätze und höhere Stückzahlen. Unter den fünf größten Herstellern konnte einzig Sun Microsystems weniger Einnahmen verbuchen als im Vorjahresquartal.

  • Nutzer trauen weder Wirtschaft noch Staat

    Das Vertrauen in die Internetsicherheit erholt sich nur langsam. Die Bürger vertrauen weder dem Staat noch der Wirtschaft.

  • IPFire 2.17 Core Update 90 veröffentlicht

    Die für den Betrieb als Firewall ausgelegte Linux-Distribution IPFire 2.17 haben die Entwickler aktualisiert und ihr dabei auch gleich noch ein paar interessante neue Features spendiert. Unter anderem bietet sie jetzt eine Filterung anhand von geografischen Daten.

comments powered by Disqus

Ausgabe 09/2016

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.