Das NPM-Repository stellt die Unterstützung für TLS 1.0 und 1.1 ein.

Die Firma GitHub hat beschlossen, die Unterstützung für die Protokolle TLS 1.0 und 1.1 im NPM-Paket-Repository sowie auf allen mit dem NPM-Paketmanager verbundenen Websites, einschließlich npmjs.com, einzustellen. Ab dem 4. Oktober ist ein Client erforderlich, der mindestens TLS 1.2 unterstützt, um eine Verbindung zum Repository herzustellen, einschließlich der Installation von Paketen. Die Unterstützung für TLS 1.0/1.1 auf GitHub selbst wurde bereits im Februar 2018 eingestellt. Als Motivation wird die Sicherstellung der Sicherheit ihrer Dienste und der Vertraulichkeit der Benutzerdaten genannt. Laut GitHub erfolgen bereits etwa 99% der Anfragen an das NPM-Repository mit TLS 1.2 oder 1.3, und Node.js unterstützt seit 2013 TLS 1.2 (beginnend mit Version 0.10). Daher wird die Änderung nur einen geringen Teil der Nutzer betreffen.

Wir erinnern daran, dass die Protokolle TLS 1.0 und 1.1 offiziell vom IETF (Internet Engineering Task Force) als veraltete Technologien eingestuft wurden. Die Spezifikation von TLS 1.0 wurde im Januar 1999 veröffentlicht. Nach sieben Jahren wurde TLS 1.1 veröffentlicht, welches Verbesserungen in der Sicherheit hinsichtlich der Initialisierungsvektor- und Padding-Generierung bot. Zu den Hauptproblemen von TLS 1.0/1.1 gehört der Mangel an Unterstützung für moderne Verschlüsselungen (z. B. ECDHE und AEAD) sowie die Anforderung in der Spezifikation zur Unterstützung älterer Verschlüsselungen, deren Zuverlässigkeit in der heutigen Zeit in Frage gestellt wird (z. B. wird die Unterstützung für TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA gefordert, während zur Integritätsprüfung und Authentifizierung MD5 und SHA-1 verwendet werden). Die Unterstützung veralteter Algorithmen hat bereits zu Angriffen wie ROBOT, DROWN, BEAST, Logjam und FREAK geführt. Dennoch waren diese Probleme keine unmittelbaren Schwachstellen des Protokolls und wurden auf der Ebene der Implementierungen behoben. In den Protokollen TLS 1.0/1.1 gibt es keine kritischen Schwachstellen, die für praktische Angriffe ausgenutzt werden können.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster