GitHub NPM paket repozitoriyasında və npmjs.com daxil olmaqla NPM paket meneceri ilə əlaqəli bütün saytlarda TLS 1.0 və 1.1 dəstəyini dayandırmaq qərarına gəlib. Oktyabrın 4-dən etibarən paketlərin quraşdırılması da daxil olmaqla repozitoriyaya qoşulmaq üçün ən azı TLS 1.2-ni dəstəkləyən müştəri tələb olunacaq. GitHub-da TLS 1.0/1.1 dəstəyi 2018-ci ilin fevralında dayandırıldı. Səbəb onun xidmətlərinin təhlükəsizliyi və istifadəçi məlumatlarının məxfiliyi ilə bağlı narahatlıq olduğu bildirilir. GitHub-a görə, NPM repozitoriyasına edilən sorğuların təxminən 99%-i artıq TLS 1.2 və ya 1.3 istifadə edərək edilir və Node.js 1.2-cü ildən (2013 buraxılışından bəri) TLS 0.10 üçün dəstəyi ehtiva edir, buna görə də dəyişiklik yalnız kiçik bir hissəyə təsir edəcək. istifadəçilər.
Xatırladaq ki, TLS 1.0 və 1.1 protokolları IETF (Internet Engineering Task Force) tərəfindən rəsmi olaraq köhnəlmiş texnologiyalar kimi təsnif edilib. TLS 1.0 spesifikasiyası 1999-cu ilin yanvarında nəşr edilmişdir. Yeddi il sonra TLS 1.1 yeniləməsi başlatma vektorlarının və dolğunluğun yaradılması ilə bağlı təhlükəsizlik təkmilləşdirmələri ilə buraxıldı. TLS 1.0/1.1-in əsas problemləri arasında müasir şifrələr üçün dəstəyin olmaması (məsələn, ECDHE və AEAD) və spesifikasiyada etibarlılığı hazırkı mərhələdə şübhə doğuran köhnə şifrələri dəstəkləmək tələbinin olmasıdır. hesablama texnologiyasının inkişafı (məsələn, bütövlüyünü yoxlamaq üçün TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA dəstəyi tələb olunur və autentifikasiya MD5 və SHA-1-dən istifadə edir). Köhnəlmiş alqoritmlərə dəstək artıq ROBOT, DROWN, BEAST, Logjam və FREAK kimi hücumlara səbəb olub. Lakin bu problemlər birbaşa protokol zəifliyi hesab edilmir və onun tətbiqi səviyyəsində həll edilir. TLS 1.0/1.1 protokollarının özündə praktiki hücumlar həyata keçirmək üçün istifadə edilə bilən kritik zəifliklər yoxdur.
Mənbə: opennet.ru