Tá cinneadh déanta ag GitHub deireadh a chur le tacaíocht do TLS 1.0 agus 1.1 i stór pacáiste NPM agus gach suíomh a bhaineann le bainisteoir pacáiste NPM, lena n-áirítear npmjs.com. Ag tosú Deireadh Fómhair 4, ag nascadh leis an stór, lena n-áirítear pacáistí a shuiteáil, beidh gá le cliant a thacaíonn le TLS 1.2 ar a laghad. Ar GitHub féin, cuireadh deireadh le tacaíocht do TLS 1.0 / 1.1 ar ais i mí Feabhra 2018. Deirtear gurb é an chúis imní maidir le slándáil a seirbhísí agus rúndacht sonraí úsáideoirí. De réir GitHub, tá thart ar 99% de na hiarratais ar stór NPM déanta cheana féin ag baint úsáide as TLS 1.2 nó 1.3, agus tá tacaíocht do TLS 1.2 san áireamh ag Node.js ó 2013 (ó scaoileadh 0.10), mar sin ní dhéanfaidh an t-athrú difear ach do chuid bheag de úsáideoirí.
Meabhraímid go bhfuil prótacail TLS 1.0 agus 1.1 rangaithe go hoifigiúil mar theicneolaíochtaí atá imithe i léig ag an IETF (Tascfhórsa Innealtóireachta Idirlín). Foilsíodh sonraíocht TLS 1.0 i mí Eanáir 1999. Seacht mbliana ina dhiaidh sin, scaoileadh an nuashonrú TLS 1.1 le feabhsuithe slándála a bhaineann le giniúint veicteoirí tosaigh agus stuáil. I measc na bpríomhfhadhbanna a bhaineann le TLS 1.0/1.1 tá an easpa tacaíochta do shimplí nua-aimseartha (mar shampla, ECDHE agus AEAD) agus láithreacht sa tsonraíocht riachtanas chun tacú le sean-siféar, a bhfuil a n-iontaofacht á cheistiú ag an gcéim reatha den forbairt na teicneolaíochta ríomhaireachta (mar shampla, tá gá le tacaíocht do TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA chun úsáidí sláine agus fíordheimhnithe MD5 agus SHA-1 a sheiceáil). Tá ionsaithe ar nós ROBOT, DROWN, BEAST, Logjam agus FREAK mar thoradh ar thacaíocht d’algartaim atá as dáta cheana féin. Mar sin féin, níor measadh go díreach na fadhbanna seo a bheith ina leochaileachtaí prótacail agus réitíodh iad ag leibhéal a chur i bhfeidhm. Tá easpa leochaileachtaí criticiúla sna prótacail TLS 1.0/1.1 ar féidir iad a shaothrú chun ionsaithe praiticiúla a dhéanamh.
Foinse: oscailtenet.ru