GitHub hat beschlossen, die Unterstützung für TLS 1.0 und 1.1 im NPM-Paket-Repository und auf allen mit dem NPM-Paketmanager verbundenen Websites, einschließlich npmjs.com, einzustellen. Ab dem 4. Oktober ist für die Verbindung zum Repository, einschließlich der Installation von Paketen, ein Client erforderlich, der mindestens TLS 1.2 unterstützt. Auf GitHub selbst wurde die Unterstützung für TLS 1.0/1.1 bereits im Februar 2018 eingestellt. Als Motiv soll die Sorge um die Sicherheit seiner Dienste und die Vertraulichkeit der Nutzerdaten genannt werden. Laut GitHub werden etwa 99 % der Anfragen an das NPM-Repository bereits über TLS 1.2 oder 1.3 gestellt, und Node.js bietet seit 1.2 (seit Release 2013) Unterstützung für TLS 0.10, sodass die Änderung nur einen kleinen Teil davon betrifft Benutzer.
Erinnern wir uns daran, dass die Protokolle TLS 1.0 und 1.1 von der IETF (Internet Engineering Task Force) offiziell als veraltete Technologien eingestuft wurden. Die TLS 1.0-Spezifikation wurde im Januar 1999 veröffentlicht. Sieben Jahre später wurde das TLS 1.1-Update mit Sicherheitsverbesserungen im Zusammenhang mit der Generierung von Initialisierungsvektoren und dem Auffüllen veröffentlicht. Zu den Hauptproblemen von TLS 1.0/1.1 gehört die mangelnde Unterstützung moderner Verschlüsselungsverfahren (z. B. ECDHE und AEAD) und das Vorhandensein einer Anforderung zur Unterstützung alter Verschlüsselungsverfahren in der Spezifikation, deren Zuverlässigkeit derzeit in Frage gestellt wird Entwicklung der Computertechnologie (z. B. ist Unterstützung für TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA erforderlich, um die Integrität zu überprüfen und die Authentifizierung verwendet MD5 und SHA-1). Die Unterstützung veralteter Algorithmen hat bereits zu Angriffen wie ROBOT, DROWN, BEAST, Logjam und FREAK geführt. Diese Probleme wurden jedoch nicht direkt als Schwachstellen des Protokolls betrachtet und auf der Ebene seiner Implementierungen behoben. Den TLS 1.0/1.1-Protokollen selbst fehlen kritische Schwachstellen, die für praktische Angriffe ausgenutzt werden können.
Source: opennet.ru