A GitHub úgy döntött, hogy megszünteti a TLS 1.0 és 1.1 támogatását az NPM-csomagok tárházában és az NPM-csomagkezelőhöz kapcsolódó összes webhelyen, beleértve az npmjs.com-ot is. Október 4-től a tárolóhoz való csatlakozáshoz, beleértve a csomagok telepítését is, olyan kliensre lesz szükség, amely támogatja a legalább TLS 1.2-t. Magán a GitHubon a TLS 1.0/1.1 támogatása 2018 februárjában megszűnt. Az indíték állítólag a szolgáltatásai biztonsága és a felhasználói adatok bizalmas kezelése miatti aggodalom. A GitHub szerint az NPM-tárhoz intézett kérelmek körülbelül 99%-a már TLS 1.2 vagy 1.3 használatával történik, és a Node.js 1.2 óta (a 2013-es kiadás óta) támogatja a TLS 0.10-t, így a változás csak egy kis részét érinti. felhasználókat.
Emlékezzünk vissza, hogy a TLS 1.0 és 1.1 protokollokat az IETF (Internet Engineering Task Force) hivatalosan is elavult technológiák közé sorolta. A TLS 1.0 specifikációt 1999 januárjában tették közzé. Hét évvel később megjelent a TLS 1.1 frissítés az inicializálási vektorok generálásával és a kitöltéssel kapcsolatos biztonsági fejlesztésekkel. A TLS 1.0/1.1 fő problémái közé tartozik a modern titkosítások (például ECDHE és AEAD) támogatásának hiánya, valamint a régi titkosítások támogatására vonatkozó követelmény jelenléte a specifikációban, amelynek megbízhatósága a jelenlegi szakaszban megkérdőjelezhető. számítástechnika fejlesztése (például a TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA támogatása szükséges az integritás ellenőrzéséhez, a hitelesítés pedig MD5 és SHA-1-et használ). Az elavult algoritmusok támogatása már olyan támadásokhoz vezetett, mint a ROBOT, a DROWN, a BEAST, a Logjam és a FREAK. Ezeket a problémákat azonban nem tekintették közvetlenül a protokoll sérülékenységének, és a megvalósítás szintjén oldották meg őket. Maguk a TLS 1.0/1.1 protokollok nem tartalmaznak olyan kritikus sérülékenységeket, amelyek kihasználhatók gyakorlati támadások végrehajtására.
Forrás: opennet.ru