GitHub ለTLS 1.0 እና 1.1 በNPM ጥቅል ማከማቻ ውስጥ እና ከNPM ጥቅል አስተዳዳሪ ጋር የተያያዙ ሁሉም ጣቢያዎች npmjs.comን ጨምሮ ድጋፍን ለማቋረጥ ወስኗል። ከኦክቶበር 4 ጀምሮ፣ ከማከማቻው ጋር መገናኘት፣ ፓኬጆችን መጫንን ጨምሮ፣ ቢያንስ TLS 1.2ን የሚደግፍ ደንበኛ ያስፈልገዋል። በ GitHub እራሱ፣ የTLS 1.0/1.1 ድጋፍ በየካቲት 2018 ተቋርጧል። ዓላማው የአገልግሎቶቹን ደህንነት እና የተጠቃሚው መረጃ ምስጢራዊነት አሳሳቢነት ነው ተብሏል። እንደ GitHub ዘገባ፣ ወደ NPM ማከማቻ 99% የሚጠጉ ጥያቄዎች TLS 1.2 ወይም 1.3 ን በመጠቀም ተደርገዋል፣ እና Node.js ከ1.2 ጀምሮ ለTLS 2013 ድጋፍ አካቷል (ከተለቀቀው 0.10)፣ ስለዚህ ለውጡ የሚነካው ትንሽ ክፍል ብቻ ነው። ተጠቃሚዎች.
እናስታውስ የTLS 1.0 እና 1.1 ፕሮቶኮሎች በ IETF (የኢንተርኔት ኢንጂነሪንግ ግብረ ሃይል) ጊዜ ያለፈባቸው ቴክኖሎጂዎች ተደርገው በይፋ መመደባቸውን እናስታውስ። የTLS 1.0 ዝርዝር በጥር 1999 ታትሟል። ከሰባት ዓመታት በኋላ፣ የቲኤልኤስ 1.1 ማሻሻያ ከመነሻ ቬክተር እና ንጣፍ መፈጠር ጋር በተያያዙ የደህንነት ማሻሻያዎች ተለቀቀ። የቲኤልኤስ 1.0/1.1 ዋና ዋና ችግሮች መካከል ለዘመናዊ ሲፈርስ (ለምሳሌ ECDHE እና AEAD) ድጋፍ አለማግኘት እና የድሮውን ሲፈርስ ለመደገፍ የሚያስፈልጉ መስፈርቶች መኖራቸው አሁን ባለው ደረጃ ላይ ጥያቄ ይነሳል. የኮምፒዩቲንግ ቴክኖሎጂ እድገት (ለምሳሌ የTLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ድጋፍ ያስፈልጋል ትክክለኛነት እና ማረጋገጫ MD5 እና SHA-1 ይጠቀማል)። ጊዜ ያለፈባቸው ስልተ ቀመሮች ድጋፍ እንደ ROBOT፣ DROWN፣ BEAST፣ Logjam እና FREAK ያሉ ጥቃቶችን አስከትሏል። ነገር ግን እነዚህ ችግሮች በቀጥታ የፕሮቶኮል ተጋላጭነት ተደርገው አልተወሰዱም እና በአፈፃፀማቸው ደረጃ ተፈትተዋል። የTLS 1.0/1.1 ፕሮቶኮሎች እራሳቸው ተግባራዊ ጥቃቶችን ለመፈጸም ሊጠቀሙባቸው የሚችሉ ወሳኝ ተጋላጭነቶች የላቸውም።
ምንጭ: opennet.ru