GitHub har besluttet at afbryde support til TLS 1.0 og 1.1 i NPM-pakkelageret og alle websteder, der er forbundet med NPM-pakkehåndteringen, inklusive npmjs.com. Fra den 4. oktober vil tilslutning til lageret, inklusive installation af pakker, kræve en klient, der understøtter mindst TLS 1.2. På selve GitHub blev understøttelse af TLS 1.0/1.1 afbrudt tilbage i februar 2018. Motivet siges at være bekymring for sikkerheden af dets tjenester og fortroligheden af brugerdata. Ifølge GitHub er omkring 99 % af anmodningerne til NPM-lageret allerede lavet ved hjælp af TLS 1.2 eller 1.3, og Node.js har inkluderet understøttelse af TLS 1.2 siden 2013 (siden release 0.10), så ændringen vil kun påvirke en lille del af brugere.
Lad os huske på, at TLS 1.0- og 1.1-protokollerne officielt er blevet klassificeret som forældede teknologier af IETF (Internet Engineering Task Force). TLS 1.0-specifikationen blev offentliggjort i januar 1999. Syv år senere blev TLS 1.1-opdateringen udgivet med sikkerhedsforbedringer relateret til generering af initialiseringsvektorer og polstring. Blandt hovedproblemerne ved TLS 1.0/1.1 er manglen på understøttelse af moderne cifre (for eksempel ECDHE og AEAD) og tilstedeværelsen i specifikationen af et krav om at understøtte gamle cifre, hvis pålidelighed stilles spørgsmålstegn ved det nuværende stadie af udvikling af computerteknologi (for eksempel er understøttelse af TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA påkrævet for at kontrollere integriteten og godkendelsen bruger MD5 og SHA-1). Understøttelse af forældede algoritmer har allerede ført til angreb som ROBOT, DROWN, BEAST, Logjam og FREAK. Disse problemer blev dog ikke direkte betragtet som protokolsårbarheder og blev løst på niveau med dets implementeringer. Selve TLS 1.0/1.1-protokollerne mangler kritiske sårbarheder, der kan udnyttes til at udføre praktiske angreb.
Kilde: opennet.ru