GitHub ha decidit suspendre el suport per a TLS 1.0 i 1.1 al dipòsit de paquets NPM i tots els llocs associats amb el gestor de paquets NPM, inclòs npmjs.com. A partir del 4 d'octubre, per connectar-se al dipòsit, inclosa la instal·lació de paquets, requerirà un client que admeti almenys TLS 1.2. Al mateix GitHub, el suport per a TLS 1.0/1.1 es va suspendre el febrer de 2018. Es diu que el motiu és la preocupació per la seguretat dels seus serveis i la confidencialitat de les dades dels usuaris. Segons GitHub, al voltant del 99% de les sol·licituds al repositori NPM ja es fan amb TLS 1.2 o 1.3, i Node.js ha inclòs suport per a TLS 1.2 des del 2013 (des de la versió 0.10), de manera que el canvi només afectarà una petita part de usuaris.
Recordem que els protocols TLS 1.0 i 1.1 han estat classificats oficialment com a tecnologies obsoletes per l'IETF (Internet Engineering Task Force). L'especificació TLS 1.0 es va publicar el gener de 1999. Set anys més tard, es va publicar l'actualització TLS 1.1 amb millores de seguretat relacionades amb la generació de vectors d'inicialització i farciment. Entre els principals problemes de TLS 1.0/1.1 hi ha la manca de suport per a xifratges moderns (per exemple, ECDHE i AEAD) i la presència en l'especificació d'un requisit per donar suport a xifrats antics, la fiabilitat dels quals es qüestiona en l'etapa actual de desenvolupament de tecnologia informàtica (per exemple, es requereix suport per a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA per comprovar la integritat i l'autenticació utilitza MD5 i SHA-1). El suport per a algorismes obsolets ja ha provocat atacs com ROBOT, DROWN, BEAST, Logjam i FREAK. No obstant això, aquests problemes no es consideraven directament vulnerabilitats del protocol i es van resoldre a nivell de les seves implementacions. Els protocols TLS 1.0/1.1 no tenen vulnerabilitats crítiques que es puguin explotar per dur a terme atacs pràctics.
Font: opennet.ru