Хранилището на NPM отхвърля поддръжката за TLS 1.0 и 1.1

GitHub реши да прекрати поддръжката за TLS 1.0 и 1.1 в хранилището на пакети NPM и всички сайтове, свързани с мениджъра на пакети NPM, включително npmjs.com. От 4 октомври свързването към хранилището, включително инсталирането на пакети, ще изисква клиент, който поддържа поне TLS 1.2. В самия GitHub поддръжката за TLS 1.0/1.1 беше преустановена през февруари 2018 г. Твърди се, че мотивът е загриженост за сигурността на услугите и поверителността на потребителските данни. Според GitHub около 99% от заявките към хранилището на NPM вече са направени с помощта на TLS 1.2 или 1.3, а Node.js включва поддръжка за TLS 1.2 от 2013 г. (от версия 0.10), така че промяната ще засегне само малка част от потребители.

Нека припомним, че протоколите TLS 1.0 и 1.1 са официално класифицирани като остарели технологии от IETF (Internet Engineering Task Force). Спецификацията TLS 1.0 беше публикувана през януари 1999 г. Седем години по-късно беше пусната актуализацията на TLS 1.1 с подобрения в сигурността, свързани с генерирането на инициализиращи вектори и подложки. Сред основните проблеми на TLS 1.0/1.1 е липсата на поддръжка за съвременни шифри (например ECDHE и AEAD) и наличието в спецификацията на изискване за поддръжка на стари шифри, чиято надеждност е поставена под въпрос на настоящия етап от развитие на изчислителната технология (например, поддръжката на TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA е необходима за проверка на целостта и удостоверяването използва MD5 и SHA-1). Поддръжката на остарели алгоритми вече доведе до атаки като ROBOT, DROWN, BEAST, Logjam и FREAK. Въпреки това, тези проблеми не бяха пряко считани за уязвимости на протокола и бяха разрешени на нивото на неговите реализации. В самите протоколи TLS 1.0/1.1 липсват критични уязвимости, които могат да бъдат използвани за извършване на практически атаки.

Източник: opennet.ru