Кампанія GitHub прыняла рашэнне спыніць падтрымку пратаколаў TLS 1.0 і 1.1 у рэпазітары пакетаў NPM і на ўсіх сайтах, злучаных з пакетным мэнэджарам NPM, уключаючы npmjs.com. Пачынальна з 4 кастрычніка для падлучэння да рэпазітара, у тым ліку для ўсталёўкі пакетаў, запатрабуецца кліент з падтрымкай прынамсі TLS 1.2. На самім GitHub падтрымка TLS 1.0/1.1 была спынена яшчэ ў лютым 2018 гады. У якасці матыву называецца клопат аб бяспецы сваіх сэрвісаў і канфідэнцыйнасці дадзеных карыстальнікаў. Па дадзеных GitHub каля 99% запытаў да рэпазітара NPM ужо здзяйсняецца з выкарыстаннем TLS 1.2 ці 1.3, а Node.js уключае падтрымку TLS 1.2 c 2013 гады (пачынальна з выпуску 0.10), таму змена закране толькі малаважную частку карыстачоў.
Нагадаем, што пратаколы TLS 1.0 і 1.1 афіцыйна пераведзены камітэтам IETF (Internet Engineering Task Force) у разрад састарэлых тэхналогій. Спецыфікацыя TLS 1.0 была апублікавана ў студзені 1999 гады. Праз сем гадоў было выпушчана абнаўленне TLS 1.1 з паляпшэннямі бяспекі, злучанымі з генерацыяй вектараў ініцыялізацыі і дадатковага запаўнення. Сярод галоўных праблем TLS 1.0/1.1 згадваецца адсутнасць падтрымкі сучасных шыфраў (напрыклад ECDHE і AEAD) і наяўнасць у спецыфікацыі патрабавання па падтрымцы старых шыфраў, надзейнасць якіх на сучасным этапе развіцця вылічальнай тэхнікі пастаўлена пад сумнеў (напрыклад, патрабуецца падтрымка TLS_DHE_DSS_WI TH аўтэнтыфікацыі выкарыстоўваецца MD3 і SHA-5). Падтрымка састарэлых алгарытмаў ужо прыводзіла да з'яўлення такіх нападаў, як ROBOT, DROWN, BEAST, Logjam і FREAK. Тым не менш, гэтыя праблемы непасрэдна не з'яўляліся ўразлівасцямі пратакола і зачыняліся на ўзроўні яго рэалізацый. У саміх пратаколах TLS 1/1.0 адсутнічаюць крытычныя ўразлівасці, якія можна выкарыстоўваць для ажыццяўлення практычных нападаў.
Крыніца: opennet.ru