GitHub te deside sispann sipò pou TLS 1.0 ak 1.1 nan depo pake NPM ak tout sit ki asosye ak manadjè pake NPM, ki gen ladan npmjs.com. Apati 4 oktòb, konekte ak depo a, ki gen ladan enstale pakè, pral mande pou yon kliyan ki sipòte omwen TLS 1.2. Sou GitHub tèt li, sipò pou TLS 1.0/1.1 te sispann tounen nan mwa fevriye 2018. Motif la di se enkyetid pou sekirite sèvis li yo ak konfidansyalite done itilizatè yo. Dapre GitHub, apeprè 99% nan demann nan repozitwa NPM yo deja fè lè l sèvi avèk TLS 1.2 oswa 1.3, ak Node.js te enkli sipò pou TLS 1.2 depi 2013 (depi lage 0.10), kidonk chanjman an pral sèlman afekte yon ti pòsyon nan itilizatè yo.
Ann sonje ke pwotokòl TLS 1.0 ak 1.1 yo te ofisyèlman klase kòm teknoloji demode pa IETF (Entènèt Jeni Task Force). Espesifikasyon TLS 1.0 te pibliye an janvye 1999. Sèt ane apre, yo te pibliye aktyalizasyon TLS 1.1 la ak amelyorasyon sekirite ki gen rapò ak jenerasyon vektè inisyalizasyon ak padding. Pami pwoblèm prensipal yo nan TLS 1.0 / 1.1 se mank de sipò pou chifreman modèn (pa egzanp, ECDHE ak AEAD) ak prezans nan spesifikasyon nan yon egzijans sipòte chifre fin vye granmoun, fyab nan ki se kesyone nan etap aktyèl la nan. devlopman nan teknoloji enfòmatik (pa egzanp, sipò pou TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA oblije tcheke entegrite ak otantifikasyon itilize MD5 ak SHA-1). Sipò pou algoritm demode te deja mennen nan atak tankou ROBOT, DROWN, BEAST, Logjam ak FREAK. Sepandan, pwoblèm sa yo pa te konsidere dirèkteman frajilite pwotokòl epi yo te rezoud nan nivo aplikasyon li yo. Pwotokòl TLS 1.0/1.1 yo menm yo manke vilnerabilite kritik ki ka eksplwate pou fè atak pratik.
Sous: opennet.ru