GitHub تصمیم گرفته است که پشتیبانی از TLS 1.0 و 1.1 را در مخزن بسته NPM و تمام سایت های مرتبط با مدیر بسته NPM از جمله npmjs.com متوقف کند. از 4 اکتبر، اتصال به مخزن، از جمله نصب بستهها، به کلاینتی نیاز دارد که حداقل TLS 1.2 را پشتیبانی کند. در خود GitHub، پشتیبانی از TLS 1.0/1.1 در فوریه 2018 متوقف شد. گفته می شود که این انگیزه نگرانی برای امنیت خدمات و محرمانه بودن داده های کاربران است. طبق گفته GitHub، حدود 99 درصد از درخواستها به مخزن NPM قبلاً با استفاده از TLS 1.2 یا 1.3 انجام میشود و Node.js از سال 1.2 (از زمان انتشار 2013) از TLS 0.10 پشتیبانی میکند، بنابراین این تغییر تنها بر بخش کوچکی از آن تأثیر میگذارد. کاربران
به یاد بیاوریم که پروتکل های TLS 1.0 و 1.1 به طور رسمی توسط IETF (گروه وظیفه مهندسی اینترنت) به عنوان فناوری های منسوخ طبقه بندی شده اند. مشخصات TLS 1.0 در ژانویه 1999 منتشر شد. هفت سال بعد، بهروزرسانی TLS 1.1 با بهبودهای امنیتی مربوط به تولید بردارهای اولیه و padding منتشر شد. از جمله مشکلات اصلی TLS 1.0/1.1 عدم پشتیبانی از رمزهای مدرن (به عنوان مثال ECDHE و AEAD) و وجود الزاماتی برای پشتیبانی از رمزهای قدیمی است که قابلیت اطمینان آن در مرحله فعلی زیر سوال رفته است. توسعه فناوری محاسباتی (برای مثال، پشتیبانی از TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA برای بررسی یکپارچگی و احراز هویت از MD5 و SHA-1 مورد نیاز است). پشتیبانی از الگوریتم های قدیمی قبلاً به حملاتی مانند ROBOT، DROWN، BEAST، Logjam و FREAK منجر شده است. با این حال، این مشکلات به طور مستقیم آسیب پذیری پروتکل در نظر گرفته نشد و در سطح پیاده سازی آن حل شد. خود پروتکل های TLS 1.0/1.1 فاقد آسیب پذیری های حیاتی هستند که می توان از آنها برای انجام حملات عملی سوء استفاده کرد.
منبع: opennet.ru