GitHub ha decidido suspender el soporte para TLS 1.0 y 1.1 en el repositorio de paquetes NPM y en todos los sitios asociados con el administrador de paquetes NPM, incluido npmjs.com. A partir del 4 de octubre, la conexión al repositorio, incluida la instalación de paquetes, requerirá un cliente que admita al menos TLS 1.2. En el propio GitHub, la compatibilidad con TLS 1.0/1.1 se suspendió en febrero de 2018. Se dice que el motivo es la preocupación por la seguridad de sus servicios y la confidencialidad de los datos de los usuarios. Según GitHub, alrededor del 99% de las solicitudes al repositorio de NPM ya se realizan utilizando TLS 1.2 o 1.3, y Node.js ha incluido soporte para TLS 1.2 desde 2013 (desde la versión 0.10), por lo que el cambio solo afectará a una pequeña porción de usuarios.
Recordemos que los protocolos TLS 1.0 y 1.1 han sido clasificados oficialmente como tecnologías obsoletas por el IETF (Internet Engineering Task Force). La especificación TLS 1.0 se publicó en enero de 1999. Siete años después, se lanzó la actualización TLS 1.1 con mejoras de seguridad relacionadas con la generación de vectores de inicialización y relleno. Entre los principales problemas de TLS 1.0/1.1 se encuentra la falta de soporte para cifrados modernos (por ejemplo, ECDHE y AEAD) y la presencia en la especificación de un requisito para soportar cifrados antiguos, cuya confiabilidad está en duda en la etapa actual de desarrollo de tecnología informática (por ejemplo, se requiere soporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA para verificar la integridad y la autenticación utiliza MD5 y SHA-1). La compatibilidad con algoritmos obsoletos ya ha dado lugar a ataques como ROBOT, DROWN, BEAST, Logjam y FREAK. Sin embargo, estos problemas no se consideraron directamente vulnerabilidades del protocolo y se resolvieron en el nivel de sus implementaciones. Los propios protocolos TLS 1.0/1.1 carecen de vulnerabilidades críticas que puedan explotarse para llevar a cabo ataques prácticos.
Fuente: opennet.ru