GitHub a décidé d'interrompre la prise en charge de TLS 1.0 et 1.1 dans le référentiel de packages NPM et tous les sites associés au gestionnaire de packages NPM, y compris npmjs.com. À partir du 4 octobre, la connexion au référentiel, y compris l'installation des packages, nécessitera un client prenant en charge au moins TLS 1.2. Sur GitHub lui-même, la prise en charge de TLS 1.0/1.1 a été interrompue en février 2018. Le motif serait le souci de la sécurité de ses services et de la confidentialité des données des utilisateurs. Selon GitHub, environ 99 % des requêtes adressées au référentiel NPM sont déjà effectuées à l'aide de TLS 1.2 ou 1.3, et Node.js inclut la prise en charge de TLS 1.2 depuis 2013 (depuis la version 0.10), de sorte que le changement n'affectera qu'une petite partie de utilisateurs.
Rappelons que les protocoles TLS 1.0 et 1.1 ont été officiellement classés comme technologies obsolètes par l'IETF (Internet Engineering Task Force). La spécification TLS 1.0 a été publiée en janvier 1999. Sept ans plus tard, la mise à jour TLS 1.1 a été publiée avec des améliorations de sécurité liées à la génération de vecteurs d'initialisation et au remplissage. Parmi les principaux problèmes de TLS 1.0/1.1 figurent le manque de prise en charge des chiffrements modernes (par exemple, ECDHE et AEAD) et la présence dans la spécification d'une exigence de prise en charge des chiffrements anciens, dont la fiabilité est remise en question au stade actuel de développement de la technologie informatique (par exemple, la prise en charge de TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA est requise pour vérifier l'intégrité et l'authentification utilise MD5 et SHA-1). La prise en charge d'algorithmes obsolètes a déjà conduit à des attaques telles que ROBOT, DROWN, BEAST, Logjam et FREAK. Cependant, ces problèmes n’étaient pas directement considérés comme des vulnérabilités du protocole et ont été résolus au niveau de ses implémentations. Les protocoles TLS 1.0/1.1 eux-mêmes manquent de vulnérabilités critiques pouvant être exploitées pour mener des attaques pratiques.
Source: opennet.ru