GitHub-ը որոշել է դադարեցնել TLS 1.0-ի և 1.1-ի աջակցությունը NPM փաթեթների պահոցում և NPM փաթեթների կառավարչի հետ կապված բոլոր կայքերում, ներառյալ npmjs.com-ը: Հոկտեմբերի 4-ից պահոցին միանալու համար, ներառյալ փաթեթների տեղադրումը, կպահանջվի հաճախորդ, որն աջակցում է առնվազն TLS 1.2: GitHub-ում TLS 1.0/1.1-ի աջակցությունը դադարեցվել է դեռևս 2018 թվականի փետրվարին: Նշվում է, որ շարժառիթը մտահոգությունն է իր ծառայությունների անվտանգության և օգտատերերի տվյալների գաղտնիության համար: Ըստ GitHub-ի, NPM պահոց հարցումների մոտ 99%-ն արդեն արվել է TLS 1.2 կամ 1.3-ի միջոցով, իսկ Node.js-ը ներառում է TLS 1.2-ի աջակցությունը 2013 թվականից (0.10 թողարկման պահից), այնպես որ փոփոխությունը կազդի միայն մի փոքր մասի վրա: օգտվողներ.
Հիշեցնենք, որ TLS 1.0 և 1.1 արձանագրությունները IETF-ի (Internet Engineering Task Force) կողմից պաշտոնապես դասակարգվել են որպես հնացած տեխնոլոգիաներ։ TLS 1.0 ճշգրտումը հրապարակվել է 1999 թվականի հունվարին։ Յոթ տարի անց TLS 1.1 թարմացումը թողարկվեց անվտանգության բարելավումներով՝ կապված սկզբնականացման վեկտորների և լիցքավորման ստեղծման հետ: TLS 1.0/1.1-ի հիմնական խնդիրներից է ժամանակակից գաղտնագրերի (օրինակ՝ ECDHE և AEAD) աջակցության բացակայությունը և հին ծածկագրերին աջակցելու պահանջի առկայությունը, որի հուսալիությունը կասկածի տակ է դրվում ներկայիս փուլում: հաշվողական տեխնոլոգիաների զարգացում (օրինակ, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA-ի աջակցությունը պահանջվում է ամբողջականությունը ստուգելու և իսկությունը կիրառում է MD5 և SHA-1): Հնացած ալգորիթմների աջակցությունն արդեն հանգեցրել է այնպիսի հարձակումների, ինչպիսիք են ROBOT, DROWN, BEAST, Logjam և FREAK: Այնուամենայնիվ, այս խնդիրներն ուղղակիորեն չեն դիտարկվել որպես արձանագրության խոցելիություն և լուծվել են դրա իրականացման մակարդակով: TLS 1.0/1.1 արձանագրություններն իրենք չունեն կրիտիկական խոցելիություններ, որոնք կարող են օգտագործվել գործնական հարձակումներ իրականացնելու համար:
Source: opennet.ru