信息安全公司高桥公司（High-Tech Bridge）进行了一项关于SSL VPN的调查研究发现，90%的此类服务器并没有提供本应提供的安全措施，因为他们使用的加密方式不安全或过期。

SSL VPN跟经典IPSec VPN的不同之处在于，前者能够在一个标准的网络浏览器中使用而无需在客户端安装特定的软件。SSL VPN安装在服务器中，而客户端通过浏览器就可以连接至VPN。用户浏览器跟VPN服务器之间的连接由SSL或TLS协议加密。

四分之三的SSL VPN使用不受信任的证书

研究人员表示他们分析了随机选取的10,436个VPN服务器并且发现绝大多数服务器并不安全。他们表示77%的SSL VPN使用SSLv3或SSLv2加密流量。而这两种SSL协议的版本在今天看来都是不安全的，现在很多国际及国内标准如PCI DSS和NIST SP 800-52指南中都明确禁止使用此类协议。

如果不考虑其SSL版本问题，76%的SSL VPN服务器使用的是不受信任的SSL证书。而这些SSL证书未经服务器证实，而且攻击者能够模仿并且对毫不知情的用户发动中间人攻击。研究人员表示这些证书之所以不受信任是因为很多SSL VPN中的默认预装证书很少进行更新。

某些VPN仍然使用MD5签署证书

此外，安全研究人员还发现74%的证书都是通过SHA-1证书签名的，而5%是通过MD5哈希签名，不过这两种证书都已经过时了。41%的SSL VPN还在RSA证书中使用不安全的1024个密钥长度，即便这样，任何低于2048个密钥长度的RSA密钥都被认为是高度不安全的。更糟糕的是，10%的SSL VPN仍然容易受到“心脏出血”漏洞的影响，虽然该漏洞补丁已发布。

在所有测试的SSL VPN中，安全研究人员表示，只有3%的VPN遵循了PCI DSS要求，但没有遵守NIST指南的VPN。