GitHub decidiu descontinuar o soporte para TLS 1.0 e 1.1 no repositorio de paquetes NPM e todos os sitios asociados co xestor de paquetes NPM, incluído npmjs.com. A partir do 4 de outubro, para conectarse ao repositorio, incluída a instalación de paquetes, requirirá un cliente que admita polo menos TLS 1.2. No propio GitHub, o soporte para TLS 1.0/1.1 interrompeuse en febreiro de 2018. Dise que o motivo é a preocupación pola seguridade dos seus servizos e a confidencialidade dos datos dos usuarios. Segundo GitHub, preto do 99% das solicitudes ao repositorio de NPM xa se fan usando TLS 1.2 ou 1.3, e Node.js incluíu soporte para TLS 1.2 desde 2013 (desde a versión 0.10), polo que o cambio só afectará a unha pequena parte de usuarios.
Lembremos que os protocolos TLS 1.0 e 1.1 foron clasificados oficialmente como tecnoloxías obsoletas polo IETF (Internet Engineering Task Force). A especificación TLS 1.0 publicouse en xaneiro de 1999. Sete anos despois, lanzouse a actualización TLS 1.1 con melloras de seguridade relacionadas coa xeración de vectores de inicialización e recheo. Entre os principais problemas de TLS 1.0/1.1 atópase a falta de soporte para os cifrados modernos (por exemplo, ECDHE e AEAD) e a presenza na especificación dun requisito para admitir cifrados antigos, cuxa fiabilidade está cuestionada na fase actual de desenvolvemento de tecnoloxía informática (por exemplo, é necesario o soporte para TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA para comprobar a integridade e os usos de autenticación MD5 e SHA-1). O soporte para algoritmos obsoletos xa provocou ataques como ROBOT, DROWN, BEAST, Logjam e FREAK. Non obstante, estes problemas non foron considerados directamente vulnerabilidades do protocolo e foron resoltos a nivel das súas implementacións. Os propios protocolos TLS 1.0/1.1 carecen de vulnerabilidades críticas que poidan ser explotadas para realizar ataques prácticos.
Fonte: opennet.ru