Die Genfer Security-Firma High-Tech Bridge hat die SSL-Implementierungen von SSL-VPN-Servern untersucht. In 90 Prozent aller Fälle sei SSL unsicher oder veraltet.
SSL VPNs lassen sich mit einfachen Webbrowsern nutzen, der User braucht also keinen VPN-Client. Für ihre Studie habe die Firma 10 436 öffentlich erreichbare SSL-VPN-Server gescannt und nun die Ergebnisse in einem Blogeintrag veröffentlicht.
Demnach nutzen 77 Prozent der Anbieter SSLv3, das als unsicher gilt, Stichwort: Poodle. Es gibt sogar eine eigene Website, die beim Deaktivieren von SSLv3 behilflich sein will. Einige der Seiten verwenden gar noch SSLv2, das bereits seit 1996 als unsicher gilt und damals von SSLv3 abgelöst wurde.
Weiter benutzen 76 Prozent der Anbieter nicht vertrauenswürdige SSL-Zertifikate. Angreifer können dies für einen Man-in-the-Middle-Angriff nutzen. Meist verwenden diese VPN-Portale die vom Anbieter der Software vorinstallierten Zertifikate. Weiterhin verwenden 74 Prozent der Zertifikate unsichere SHA-1-Signaturen, welche die Mehrheit der Browserhersteller demnächst ausrangieren möchte. Fünf Prozent setzen gar auf MD5. 41 Prozent der Anbieter wählen eine RSA-Schlüssellänge von 1024 Bit, als sicher empfohlen sind aber 2048 Bit. Zudem ist immerhin noch jeder zehnte der SSL-VPN-Anbieter anfällig für Heartbleed-Angriffe.
Ob man ein sicheres SSL verwendet, lässt sich auf der webseite von High-Tech Bridge testen. Optional zeigt eine Karte die Testergebnisse an.
Wer nun seinen Server sicher machen möchte, kann sich an verschiedenen Richtlinien orientieren. Einerseits gibt es die NIST-Guidelines [PDF], andererseits die PCI DSS [PDF]. Erstere stammen vom amerikanischen National Institute of Standards and Technology, letztere vom international besetzten PCI Security Standards Council, das weltweite Sicherheitsstandards etwa für die Zahlung per Kreditkarte setzt. Lediglich drei Prozent der untersuchten SSL-VPNs erfüllten die PCI-DSS-Richtlinie, kein einziger Anbieter kam allen NIST-Empfehlungen nach.
Wer nun wissen möchte, welche SSL-VPN-Provider gut abgeschnitten haben, wird nicht fündig. High-Tech Bridge hat lediglich die prozentualen Anteile veröffentlicht. Allerdings lassen sich Dienste über die Webseite kostenlos testen. Setzt man allerdings kein Häkchen unter die Suchanfrage, landen die Ergebnisse für alle sichtbar auf einer Übersichtkarte.
