GitHub on päättänyt lopettaa TLS 1.0:n ja 1.1:n tuen NPM-pakettivarastossa ja kaikissa NPM-pakettien hallintaan liittyvissä sivustoissa, mukaan lukien npmjs.com. Lokakuun 4. päivästä alkaen yhteyden muodostaminen arkistoon, mukaan lukien pakettien asentaminen, vaatii asiakkaan, joka tukee vähintään TLS 1.2:ta. Itse GitHubissa TLS 1.0/1.1 -tuki lopetettiin helmikuussa 2018. Motiivina kerrotaan olevan huoli palveluiden turvallisuudesta ja käyttäjätietojen luottamuksellisuudesta. GitHubin mukaan noin 99 % pyynnöistä NPM-tietovarastoon tehdään jo TLS 1.2:lla tai 1.3:lla, ja Node.js on tukenut TLS 1.2:ta vuodesta 2013 lähtien (julkaisusta 0.10 lähtien), joten muutos vaikuttaa vain pieneen osaan käyttäjiä.
Muistakaamme, että IETF (Internet Engineering Task Force) on virallisesti luokitellut TLS 1.0- ja 1.1-protokollat vanhentuneiksi teknologioiksi. TLS 1.0 -spesifikaatio julkaistiin tammikuussa 1999. Seitsemän vuotta myöhemmin julkaistiin TLS 1.1 -päivitys, joka sisälsi suojausparannuksia, jotka liittyvät alustusvektorien ja täyteen luomiseen. TLS 1.0/1.1:n suurimpiin ongelmiin kuuluu nykyaikaisten salausten (esim. ECDHE ja AEAD) tuen puute ja spesifikaatioiden olemassaolo vaatimuksen tukea vanhoja salauksia, joiden luotettavuus on kyseenalaistettu tämänhetkisessä vaiheessa. laskentatekniikan kehitys (esimerkiksi TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA-tuki vaaditaan eheyden tarkistamiseen ja todennus käyttää MD5:tä ja SHA-1:tä). Vanhentuneiden algoritmien tuki on jo johtanut hyökkäyksiin, kuten ROBOT, DROWN, BEAST, Logjam ja FREAK. Näitä ongelmia ei kuitenkaan pidetty suoraan protokollan haavoittuvuuksina, ja ne ratkaistiin sen toteutusten tasolla. Itse TLS 1.0/1.1 -protokollasta puuttuu kriittisiä haavoittuvuuksia, joita voidaan hyödyntää käytännön hyökkäyksiin.
Lähde: opennet.ru