ProHoster > Blog > ειδήσεις στο διαδίκτυο > Το αποθετήριο NPM καταργεί την υποστήριξη για TLS 1.0 και 1.1

Το αποθετήριο NPM καταργεί την υποστήριξη για TLS 1.0 και 1.1

Το GitHub αποφάσισε να διακόψει την υποστήριξη για τα TLS 1.0 και 1.1 στο αποθετήριο πακέτων NPM και σε όλους τους ιστότοπους που σχετίζονται με τον διαχειριστή πακέτων NPM, συμπεριλαμβανομένου του npmjs.com. Από τις 4 Οκτωβρίου, η σύνδεση στο χώρο αποθήκευσης, συμπεριλαμβανομένης της εγκατάστασης πακέτων, θα απαιτεί έναν πελάτη που υποστηρίζει τουλάχιστον TLS 1.2. Στο ίδιο το GitHub, η υποστήριξη για το TLS 1.0/1.1 διακόπηκε τον Φεβρουάριο του 2018. Το κίνητρο φέρεται να είναι η ανησυχία για την ασφάλεια των υπηρεσιών της και το απόρρητο των δεδομένων των χρηστών. Σύμφωνα με το GitHub, περίπου το 99% των αιτημάτων στο αποθετήριο NPM έχουν ήδη γίνει χρησιμοποιώντας TLS 1.2 ή 1.3 και το Node.js έχει συμπεριλάβει υποστήριξη για TLS 1.2 από το 2013 (από την έκδοση 0.10), επομένως η αλλαγή θα επηρεάσει μόνο ένα μικρό μέρος του χρήστες.

Ας υπενθυμίσουμε ότι τα πρωτόκολλα TLS 1.0 και 1.1 έχουν επίσημα χαρακτηριστεί ως απαρχαιωμένες τεχνολογίες από την IETF (Internet Engineering Task Force). Η προδιαγραφή TLS 1.0 δημοσιεύτηκε τον Ιανουάριο του 1999. Επτά χρόνια αργότερα, κυκλοφόρησε η ενημερωμένη έκδοση TLS 1.1 με βελτιώσεις ασφαλείας που σχετίζονται με τη δημιουργία διανυσμάτων αρχικοποίησης και padding. Μεταξύ των κύριων προβλημάτων του TLS 1.0/1.1 είναι η έλλειψη υποστήριξης για σύγχρονα κρυπτογράφηση (για παράδειγμα, ECDHE και AEAD) και η παρουσία στην προδιαγραφή απαίτησης υποστήριξης παλαιών κρυπτογράφησης, η αξιοπιστία των οποίων αμφισβητείται στο τρέχον στάδιο ανάπτυξη υπολογιστικής τεχνολογίας (για παράδειγμα, απαιτείται υποστήριξη για TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA για τον έλεγχο της ακεραιότητας και ο έλεγχος ταυτότητας χρησιμοποιεί MD5 και SHA-1). Η υποστήριξη απαρχαιωμένων αλγορίθμων έχει ήδη οδηγήσει σε επιθέσεις όπως ROBOT, DROWN, BEAST, Logjam και FREAK. Ωστόσο, αυτά τα προβλήματα δεν θεωρήθηκαν άμεσα ευπάθειες πρωτοκόλλου και επιλύθηκαν στο επίπεδο των υλοποιήσεών του. Τα ίδια τα πρωτόκολλα TLS 1.0/1.1 στερούνται κρίσιμων σημείων ευπάθειας που μπορούν να αξιοποιηθούν για την πραγματοποίηση πρακτικών επιθέσεων.

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο