GitHub otsustas lõpetada TLS 1.0 ja 1.1 toetamise NPM-i pakettide hoidlas ja kõigil NPM-i paketihalduriga seotud saitidel, sealhulgas saidil npmjs.com. Alates 4. oktoobrist on hoidlaga ühenduse loomiseks, sealhulgas pakettide installimiseks, vaja klienti, mis toetab vähemalt TLS 1.2. GitHubis endas lõpetati TLS 1.0/1.1 tugi 2018. aasta veebruaris. Väidetavalt on põhjuseks mure oma teenuste turvalisuse ja kasutajaandmete konfidentsiaalsuse pärast. GitHubi andmetel tehakse umbes 99% NPM-i hoidlale suunatud taotlustest juba TLS 1.2 või 1.3 abil ning Node.js on alates 1.2. aastast sisaldanud TLS 2013 tuge (alates väljalaskest 0.10), seega mõjutab muudatus vaid väikest osa kasutajad.
Tuletagem meelde, et IETF (Internet Engineering Task Force) on TLS 1.0 ja 1.1 protokollid ametlikult klassifitseerinud aegunud tehnoloogiateks. TLS 1.0 spetsifikatsioon avaldati 1999. aasta jaanuaris. Seitse aastat hiljem ilmus TLS 1.1 värskendus koos turbetäiustustega, mis on seotud lähtestamisvektorite ja polsterdamisega. TLS 1.0/1.1 peamiste probleemide hulgas on tänapäevaste šifrite (näiteks ECDHE ja AEAD) toe puudumine ning vanade šifrite toetamise nõude olemasolu spetsifikatsioonis, mille usaldusväärsus on praeguses etapis kahtluse all. arvutustehnoloogia arendamine (näiteks TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA tugi on vajalik terviklikkuse kontrollimiseks ja autentimine kasutab MD5 ja SHA-1). Vananenud algoritmide tugi on juba viinud selliste rünnakuteni nagu ROBOT, DROWN, BEAST, Logjam ja FREAK. Neid probleeme ei peetud aga otseselt protokolli haavatavusteks ja need lahendati selle juurutuste tasemel. TLS 1.0/1.1 protokollidel endal puuduvad kriitilised haavatavused, mida saaks ära kasutada praktiliste rünnakute läbiviimiseks.
Allikas: opennet.ru