GitHub je odlučio da prekine podršku za TLS 1.0 i 1.1 u spremištu NPM paketa i svim lokacijama povezanim sa NPM menadžerom paketa, uključujući npmjs.com. Počevši od 4. oktobra, za povezivanje sa spremištem, uključujući instaliranje paketa, biće potreban klijent koji podržava najmanje TLS 1.2. Na samom GitHubu, podrška za TLS 1.0/1.1 je ukinuta još u februaru 2018. Motiv se navodi da je briga za sigurnost svojih usluga i povjerljivost korisničkih podataka. Prema GitHub-u, oko 99% zahtjeva za NPM spremište je već napravljeno koristeći TLS 1.2 ili 1.3, a Node.js uključuje podršku za TLS 1.2 od 2013. (od izdanja 0.10), tako da će promjena utjecati samo na mali dio korisnika.
Podsjetimo da je IETF (Internet Engineering Task Force) službeno klasificirao protokole TLS 1.0 i 1.1 kao zastarjele tehnologije. TLS 1.0 specifikacija je objavljena u januaru 1999. godine. Sedam godina kasnije, TLS 1.1 ažuriranje je objavljeno sa sigurnosnim poboljšanjima vezanim za generiranje vektora inicijalizacije i paddinga. Među glavnim problemima TLS-a 1.0/1.1 je nedostatak podrške za moderne šifre (na primjer, ECDHE i AEAD) i prisustvo u specifikaciji zahtjeva za podrškom starih šifri, čija se pouzdanost dovodi u pitanje u trenutnoj fazi razvoja. razvoj računarske tehnologije (na primjer, potrebna je podrška za TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA za provjeru integriteta i autentifikaciju koristeći MD5 i SHA-1). Podrška za zastarjele algoritme je već dovela do napada kao što su ROBOT, DROWN, BEAST, Logjam i FREAK. Međutim, ovi problemi nisu direktno razmatrani kao ranjivost protokola i rješavani su na nivou njegove implementacije. Samim TLS 1.0/1.1 protokolima nedostaju kritične ranjivosti koje se mogu iskoristiti za izvođenje praktičnih napada.
izvor: opennet.ru