GitHub hat besletten stipe foar TLS 1.0 en 1.1 te stopjen yn it NPM-pakketrepository en alle siden dy't ferbûn binne mei de NPM-pakketbehearder, ynklusyf npmjs.com. Begjin 4 oktober sil ferbining mei it repository, ynklusyf ynstallaasje fan pakketten, in kliïnt nedich wêze dy't op syn minst TLS 1.2 stipet. Op GitHub sels waard stipe foar TLS 1.0/1.1 yn febrewaris 2018 stopset. It motyf wurdt sein dat it soarch is foar de feiligens fan har tsjinsten en de fertroulikens fan brûkersgegevens. Neffens GitHub, sawat 99% fan oanfragen nei it NPM-repository wurde al makke mei TLS 1.2 of 1.3, en Node.js hat stipe foar TLS 1.2 sûnt 2013 opnommen (sûnt frijlitting 0.10), sadat de feroaring mar in lyts part fan ynfloed hat brûkers.
Lit ús ûnthâlde dat de TLS 1.0- en 1.1-protokollen offisjeel binne klassifisearre as ferâldere technologyen troch de IETF (Internet Engineering Task Force). De TLS 1.0-spesifikaasje waard publisearre yn jannewaris 1999. Sân jier letter waard de TLS 1.1-fernijing frijlitten mei befeiligingsferbetteringen yn ferbân mei de generaasje fan inisjalisaasjevektoren en padding. Under de wichtichste problemen fan TLS 1.0 / 1.1 is it ûntbrekken fan stipe foar moderne sifers (bygelyks ECDHE en AEAD) en de oanwêzigens yn 'e spesifikaasje fan in eask om âlde sifers te stypjen, wêrfan de betrouberens yn' e hjoeddeiske poadium fan fraach wurdt. ûntwikkeling fan Computing technology (Bygelyks, stipe foar TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA is nedich om te kontrolearjen de yntegriteit en autentikaasje brûkt MD5 en SHA-1). Stipe foar ferâldere algoritmen hat al laat ta oanfallen lykas ROBOT, DROWN, BEAST, Logjam en FREAK. Dizze problemen waarden lykwols net direkt as protokol-kwetsberheden beskôge en waarden oplost op it nivo fan har ymplemintaasjes. De TLS 1.0/1.1-protokollen sels misse krityske kwetsberens dy't kinne wurde eksploitearre om praktyske oanfallen út te fieren.
Boarne: opennet.ru