GitHub se rozhodl ukončit podporu pro TLS 1.0 a 1.1 v úložišti balíčků NPM a na všech webech spojených se správcem balíčků NPM, včetně npmjs.com. Od 4. října bude připojení k úložišti včetně instalace balíčků vyžadovat klienta, který podporuje alespoň TLS 1.2. Na samotném GitHubu byla podpora TLS 1.0/1.1 ukončena již v únoru 2018. Motivem je prý obava o bezpečnost jejích služeb a důvěrnost uživatelských dat. Podle GitHubu je asi 99 % požadavků na úložiště NPM již provedeno pomocí TLS 1.2 nebo 1.3 a Node.js obsahuje podporu pro TLS 1.2 od roku 2013 (od vydání 0.10), takže změna ovlivní pouze malou část uživatelů.
Připomeňme, že protokoly TLS 1.0 a 1.1 byly organizací IETF (Internet Engineering Task Force) oficiálně klasifikovány jako zastaralé technologie. Specifikace TLS 1.0 byla zveřejněna v lednu 1999. O sedm let později byla vydána aktualizace TLS 1.1 s vylepšeními zabezpečení souvisejícími s generováním inicializačních vektorů a výplní. Mezi hlavní problémy TLS 1.0/1.1 patří nedostatečná podpora moderních šifer (například ECDHE a AEAD) a přítomnost ve specifikaci požadavku na podporu starých šifer, jejichž spolehlivost je v současné fázi zpochybňována. vývoj výpočetní technologie (například podpora TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA je vyžadována pro kontrolu integrity a ověřování používá MD5 a SHA-1). Podpora zastaralých algoritmů již vedla k útokům jako ROBOT, DROWN, BEAST, Logjam a FREAK. Tyto problémy však nebyly přímo považovány za zranitelnost protokolu a byly vyřešeny na úrovni jeho implementací. Samotné protokoly TLS 1.0/1.1 postrádají kritické zranitelnosti, které lze zneužít k provádění praktických útoků.
Zdroj: opennet.ru