GitHub-ek TLS 1.0 eta 1.1-en laguntza etetea erabaki du NPM paketeen biltegian eta NPM pakete-kudeatzailearekin lotutako gune guztietan, npmjs.com barne. Urriaren 4tik aurrera, biltegira konektatzeko, paketeak instalatzeko barne, gutxienez TLS 1.2 onartzen duen bezero bat beharko da. GitHub-en bertan, TLS 1.0/1.1-en laguntza eten zen 2018ko otsailean. Motiboa bere zerbitzuen segurtasunaren eta erabiltzailearen datuen konfidentzialtasunaren kezka dela esaten da. GitHub-en arabera, NPM biltegiari egindako eskaeren % 99 inguru TLS 1.2 edo 1.3 erabiliz egiten dira dagoeneko, eta Node.js-ek TLS 1.2rako euskarria sartu du 2013az geroztik (0.10 bertsiotik), beraz, aldaketak zati txiki batean bakarrik eragingo du. erabiltzaileak.
Gogora dezagun TLS 1.0 eta 1.1 protokoloak IETFk (Internet Engineering Task Force) teknologia zaharkitu gisa sailkatu dituela ofizialki. TLS 1.0 zehaztapena 1999ko urtarrilean argitaratu zen. Zazpi urte geroago, TLS 1.1 eguneraketa kaleratu zen hasierako bektoreen eta betegarrien sorrerarekin lotutako segurtasun hobekuntzekin. TLS 1.0/1.1-en arazo nagusien artean, zifra modernoen euskarririk eza (adibidez, ECDHE eta AEAD) eta zehaztapenean zifraketa zaharrak onartzeko eskakizun baten presentzia daude, zeinaren fidagarritasuna zalantzan jartzen baita egungo fasean. informatika-teknologiaren garapena (adibidez, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA-ren laguntza behar da osotasuna eta autentifikazioak MD5 eta SHA-1 erabiltzen dituen egiaztatzeko). Algoritmo zaharkituen laguntzak ROBOT, DROWN, BEAST, Logjam eta FREAK bezalako erasoak ekarri ditu dagoeneko. Hala ere, arazo hauek ez ziren zuzenean protokoloaren ahultasuntzat hartzen eta bere inplementazio mailan konpondu ziren. TLS 1.0/1.1 protokoloek berek ez dituzte eraso praktikoak egiteko ustiatu daitezkeen ahultasun kritikorik.
Iturria: opennet.ru