GitHub het besluit om ondersteuning vir TLS 1.0 en 1.1 in die NPM-pakketbewaarplek en alle werwe wat met die NPM-pakketbestuurder geassosieer word, insluitend npmjs.com, te staak. Vanaf 4 Oktober sal koppeling aan die bewaarplek, insluitend die installering van pakkette, 'n kliënt vereis wat ten minste TLS 1.2 ondersteun. Op GitHub self is ondersteuning vir TLS 1.0/1.1 in Februarie 2018 gestaak. Die motief is na bewering besorgdheid oor die sekuriteit van sy dienste en die vertroulikheid van gebruikersdata. Volgens GitHub word ongeveer 99% van die versoeke na die NPM-bewaarplek reeds gemaak deur TLS 1.2 of 1.3 te gebruik, en Node.js het sedert 1.2 ondersteuning vir TLS 2013 ingesluit (sedert vrystelling 0.10), dus sal die verandering slegs 'n klein gedeelte van gebruikers.
Laat ons onthou dat die TLS 1.0- en 1.1-protokolle amptelik deur die IETF (Internet Engineering Task Force) as verouderde tegnologieë geklassifiseer is. Die TLS 1.0-spesifikasie is in Januarie 1999 gepubliseer. Sewe jaar later is die TLS 1.1-opdatering vrygestel met sekuriteitsverbeterings wat verband hou met die generering van inisialiseringsvektore en opvulling. Van die hoofprobleme van TLS 1.0/1.1 is die gebrek aan ondersteuning vir moderne syfers (byvoorbeeld ECDHE en AEAD) en die teenwoordigheid in die spesifikasie van 'n vereiste om ou syfers te ondersteun, waarvan die betroubaarheid in die huidige stadium van ontwikkeling van rekenaartegnologie (byvoorbeeld, ondersteuning vir TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA word vereis om die integriteit na te gaan en verifikasie gebruik MD5 en SHA-1). Ondersteuning vir verouderde algoritmes het reeds gelei tot aanvalle soos ROBOT, DROWN, BEAST, Logjam en FREAK. Hierdie probleme is egter nie direk as protokolkwesbaarhede beskou nie en is op die vlak van die implementering daarvan opgelos. Die TLS 1.0/1.1-protokolle self het nie kritieke kwesbaarhede wat uitgebuit kan word om praktiese aanvalle uit te voer nie.
Bron: opennet.ru