GitHub decidis ĉesigi subtenon por TLS 1.0 kaj 1.1 en la NPM-pakaĵdeponejo kaj ĉiuj retejoj asociitaj kun la NPM-pakadministranto, inkluzive de npmjs.com. Ekde la 4-a de oktobro, konektiĝi al la deponejo, inkluzive de instalado de pakaĵoj, postulos klienton kiu subtenas almenaŭ TLS 1.2. Sur GitHub mem, subteno por TLS 1.0/1.1 estis nuligita en februaro 2018. La motivo laŭdire estas zorgo pri la sekureco de siaj servoj kaj la konfidenco de uzantdatenoj. Laŭ GitHub, ĉirkaŭ 99% de petoj al la NPM-deponejo jam estas faritaj per TLS 1.2 aŭ 1.3, kaj Node.js inkludis subtenon por TLS 1.2 ekde 2013 (ekde la eldono 0.10), do la ŝanĝo nur influos malgrandan parton de uzantoj.
Ni memoru, ke la protokoloj TLS 1.0 kaj 1.1 estis oficiale klasifikitaj kiel malnoviĝintaj teknologioj fare de la IETF (Interreta Inĝenieristiko-Task Force). La TLS 1.0 specifo estis publikigita en januaro 1999. Sep jarojn poste, la ĝisdatigo de TLS 1.1 estis publikigita kun sekurecaj plibonigoj ligitaj al la generacio de inicialigvektoroj kaj kompletigo. Inter la ĉefaj problemoj de TLS 1.0/1.1 estas la manko de subteno por modernaj ĉifroj (ekzemple, ECDHE kaj AEAD) kaj la ĉeesto en la specifo de postulo subteni malnovajn ĉifrojn, kies fidindeco estas pridubita en la nuna stadio de evoluo de komputika teknologio (ekzemple, subteno por TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA estas postulata por kontroli la integrecon kaj aŭtentikigadon uzoj MD5 kaj SHA-1). Subteno por malmodernaj algoritmoj jam kaŭzis atakojn kiel ROBOT, DROWN, BEAST, Logjam kaj FREAK. Tamen, tiuj problemoj ne estis rekte konsideritaj protokolaj vundeblecoj kaj estis solvitaj sur la nivelo de ĝiaj efektivigoj. La TLS 1.0/1.1 protokoloj mem malhavas kritikajn vundeblecojn, kiuj povas esti ekspluatitaj por efektivigi praktikajn atakojn.
fonto: opennet.ru