GitHub je odlučio prekinuti podršku za TLS 1.0 i 1.1 u repozitoriju NPM paketa i svim stranicama povezanim s NPM upraviteljem paketa, uključujući npmjs.com. Počevši od 4. listopada, povezivanje na repozitorij, uključujući instaliranje paketa, zahtijevat će klijenta koji podržava najmanje TLS 1.2. Na samom GitHubu podrška za TLS 1.0/1.1 ukinuta je još u veljači 2018. Motiv je navodno zabrinutost za sigurnost svojih usluga i povjerljivost korisničkih podataka. Prema GitHubu, oko 99% zahtjeva za NPM repozitorij već je napravljeno korištenjem TLS-a 1.2 ili 1.3, a Node.js uključuje podršku za TLS 1.2 od 2013. (od izdanja 0.10), tako da će promjena utjecati samo na mali dio korisnika.
Podsjetimo, protokole TLS 1.0 i 1.1 IETF (Internet Engineering Task Force) službeno je klasificirao kao zastarjele tehnologije. Specifikacija TLS 1.0 objavljena je u siječnju 1999. Sedam godina kasnije, objavljeno je ažuriranje TLS 1.1 sa sigurnosnim poboljšanjima koja se odnose na generiranje inicijalizacijskih vektora i ispune. Među glavnim problemima TLS 1.0/1.1 je nedostatak podrške za moderne šifre (na primjer, ECDHE i AEAD) i prisutnost u specifikaciji zahtjeva za podrškom starih šifri, čija se pouzdanost dovodi u pitanje u sadašnjoj fazi razvoj računalne tehnologije (na primjer, potrebna je podrška za TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA za provjeru integriteta i autentifikaciju koja koristi MD5 i SHA-1). Podrška za zastarjele algoritme već je dovela do napada kao što su ROBOT, DROWN, BEAST, Logjam i FREAK. Međutim, ovi problemi nisu izravno smatrani ranjivostima protokola i rješavani su na razini njegove implementacije. Samim protokolima TLS 1.0/1.1 nedostaju kritične ranjivosti koje se mogu iskoristiti za izvođenje praktičnih napada.
Izvor: opennet.ru