GitHub hà decisu di cessà u supportu per TLS 1.0 è 1.1 in u repository di pacchetti NPM è tutti i siti assuciati cù u gestore di pacchetti NPM, cumpresu npmjs.com. A partire da u 4 d'ottobre, a cunnessione à u repository, cumprese l'installazione di pacchetti, richiederà un cliente chì sustene almenu TLS 1.2. Nantu à GitHub stessu, u supportu per TLS 1.0 / 1.1 hè statu cessatu in ferraghju 2018. U mutivu hè dettu chì hè preoccupatu per a sicurità di i so servizii è a cunfidenziale di e dati di l'utilizatori. Sicondu GitHub, circa 99% di e dumande à u repositoriu NPM sò digià fatte cù TLS 1.2 o 1.3, è Node.js hà inclusu supportu per TLS 1.2 da u 2013 (dapoi a liberazione 0.10), cusì u cambiamentu affettarà solu una piccula parte di utilizatori.
Ricurdemu chì i protokolli TLS 1.0 è 1.1 sò stati ufficialmente classificati cum'è tecnulugii obsoleti da l'IETF (Internet Engineering Task Force). A specificazione TLS 1.0 hè stata publicata in ghjennaghju 1999. Sette anni dopu, l'aghjurnamentu di TLS 1.1 hè stata liberata cù megliurenze di sicurezza ligati à a generazione di vettori di inizializazione è padding. Trà i prublemi principali di TLS 1.0 / 1.1 hè a mancanza di supportu per i cifru muderni (per esempiu, ECDHE è AEAD) è a prisenza in l'specificazione di un requisitu per supportà i cifru antichi, a affidabilità di quale hè interrugata in u stadiu attuale di u sviluppu di a tecnulugia di l'informatica (per esempiu, u supportu per TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA hè necessariu per verificà l'integrità è l'autentificazione usa MD5 è SHA-1). U supportu per l'algoritmi obsoleti hà digià purtatu à attacchi cum'è ROBOT, DROWN, BEAST, Logjam è FREAK. Tuttavia, sti prublemi ùn eranu micca direttamente cunsiderati vulnerabili di u protokollu è sò stati risolti à u livellu di e so implementazioni. I protokolli TLS 1.0/1.1 stessi mancanu vulnerabili critichi chì ponu esse sfruttati per realizà attacchi pratichi.
Source: opennet.ru