计算机说：“嗷”。

一项最新的研究表明，十分之九的 SSL VPN 使用不安全或过时的加密措施，这让企业数据在传输过程中暴露于风险之下。

 

High-Tech Bridge 公司(下文简称 HTB)针对可公开访问的 SSL VPN 服务器展开了一项大规模研究。该公司随机选取了400万个 IPv4 地址，并被动式扫描了来自思科、飞塔和戴尔等最大供应商的10436个可公开可访问 SSL VPN 服务器。

　　这次扫描揭示了如下几个问题：

四分之三(77%)的被测试 SSL VPN 仍旧使用老旧的 SSLv3 协议，该协议自1996年起就已经存在了。此外，大约100台服务器使用的是 SSLv2 。业界认为，这两种协议均不安全，它们长期以来存在多种可被利用的漏洞；

四分之三(76%)的被测试 SSL VPN 使用非可信的 SSL 证书，为中间人攻击大开方便之门。黑客可能设置虚假的服务器，假扮合法的通信参与方，窃取本应“安全”的 VPN 连接数据。HTB 认为，企业使用厂商默认预装的证书，是该问题的主要成因；

74%的证书使用不安全的 SHA-1 签名，还有5%甚至使用了更老的 MD5 技术。大多数 Web 浏览计划在2017年1月前停止支持 SHA-1 签名的证书，因为这一旧技术已经无法抵御攻击；

大约41%的 SSL VPN 在 RSA 证书中使用不安全的1024位密钥。RSA 证书被用于认证和密钥交换环节。基于密码破译学和密文分析领域的最新成果，业界认为，长度低于2048位的 RSA 密钥并不安全，可能成为攻击的切入口；

使用 OpenSSL 的 SSL VPN 服务器中的十分之一仍有可能遭受心脏出血攻击。臭名昭著的心脏出血攻击首次出现于2014年4月，影响所有使用 OpenSSL 的产品，它为黑客提供了窃取加密密钥、内存数据等敏感信息的直接路径；

仅有3%的 SSL VPN 合乎 PCI DSS 要求，没有一台服务器符合 NIST 准则。信用卡行业的 PCI DSS 要求和美国发布的 NIST 准则为操作信用卡转账和政府数据的企业划定了安全基线。

VPN 技术让用户可以安全访问私有网络并通过公网远程分享数据。如果你只是在浏览网页，SSL VPN 比早期版本的 IPSec VPN 更好，因为它们不需要安装客户端软件。如果拥有合法的登录凭据，且能够连接到公网，不在办公室工作的员工就可以连接到企业的 SSL VPN 实例。这项技术普遍支持电子邮件等应用的双因素认证。

很多网络管理员显然仍认为 SSL 和 TLS 加密比只使用 HTTPS 协议要好，但他们忘记了电子邮件等关键互联网服务也依赖于它们。

HTB 公司首席执行官伊利亚·克罗申科(Ilia Kolochenko)评论称：“如今许多人仍旧将 SSL/TLS 加密与 HTTPS 协议和 Web 浏览器联系在一起，他们严重低估了两者与其它协议及互联网技术整合的能力。”

HTB 公司开放了免费检查 SSL/TLS 连接的服务。该服务支持全部基于 SSL 加密的协议，有兴趣的读者可以使用它测试自己的 Web、电子邮件或 VPN。

(责任编辑：安博涛)