قرر GitHub التوقف عن دعم TLS 1.0 و1.1 في مستودع حزم NPM وجميع المواقع المرتبطة بمدير حزم NPM، بما في ذلك npmjs.com. بدءًا من 4 أكتوبر، سيتطلب الاتصال بالمستودع، بما في ذلك تثبيت الحزم، عميلًا يدعم TLS 1.2 على الأقل. على GitHub نفسه، توقف دعم TLS 1.0/1.1 مرة أخرى في فبراير 2018. ويقال إن الدافع هو القلق على أمن خدماتها وسرية بيانات المستخدم. وفقًا لـ GitHub، فإن حوالي 99% من الطلبات إلى مستودع NPM تم إجراؤها بالفعل باستخدام TLS 1.2 أو 1.3، وقد أدرج Node.js دعمًا لـ TLS 1.2 منذ عام 2013 (منذ الإصدار 0.10)، وبالتالي فإن التغيير لن يؤثر إلا على جزء صغير من المستخدمين.
دعونا نتذكر أن بروتوكولات TLS 1.0 و1.1 قد تم تصنيفها رسميًا على أنها تقنيات قديمة من قبل IETF (فريق عمل هندسة الإنترنت). تم نشر مواصفات TLS 1.0 في يناير 1999. وبعد سبع سنوات، تم إصدار تحديث TLS 1.1 مع تحسينات أمنية تتعلق بإنشاء متجهات التهيئة والحشو. من بين المشاكل الرئيسية لـ TLS 1.0/1.1 هو الافتقار إلى دعم الأصفار الحديثة (على سبيل المثال، ECDHE و AEAD) ووجود متطلبات دعم الأصفار القديمة في المواصفات، والتي يتم التشكيك في موثوقيتها في المرحلة الحالية من تطوير تكنولوجيا الحوسبة (على سبيل المثال، دعم TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA مطلوب للتحقق من التكامل والمصادقة باستخدام MD5 وSHA-1). لقد أدى دعم الخوارزميات القديمة بالفعل إلى هجمات مثل ROBOT وDROWN وBEAST وLogjam وFREAK. ومع ذلك، لم يتم اعتبار هذه المشكلات بمثابة نقاط ضعف في البروتوكول بشكل مباشر وتم حلها على مستوى تطبيقاته. تفتقر بروتوكولات TLS 1.0/1.1 نفسها إلى نقاط الضعف الحرجة التي يمكن استغلالها لتنفيذ هجمات عملية.
المصدر: opennet.ru