GitHub telah memutuskan untuk menghentikan dukungan untuk TLS 1.0 dan 1.1 di repositori paket NPM dan semua situs yang terkait dengan manajer paket NPM, termasuk npmjs.com. Mulai tanggal 4 Oktober, menghubungkan ke repositori, termasuk menginstal paket, akan memerlukan klien yang mendukung setidaknya TLS 1.2. Di GitHub sendiri, dukungan untuk TLS 1.0/1.1 dihentikan pada bulan Februari 2018. Motifnya disebut-sebut demi menjaga keamanan layanannya dan kerahasiaan data pengguna. Menurut GitHub, sekitar 99% permintaan ke repositori NPM sudah dibuat menggunakan TLS 1.2 atau 1.3, dan Node.js telah menyertakan dukungan untuk TLS 1.2 sejak 2013 (sejak rilis 0.10), sehingga perubahan tersebut hanya akan memengaruhi sebagian kecil dari pengguna.
Ingatlah bahwa protokol TLS 1.0 dan 1.1 telah secara resmi diklasifikasikan sebagai teknologi usang oleh IETF (Internet Engineering Task Force). Spesifikasi TLS 1.0 diterbitkan pada Januari 1999. Tujuh tahun kemudian, pembaruan TLS 1.1 dirilis dengan peningkatan keamanan terkait pembuatan vektor inisialisasi dan padding. Di antara masalah utama TLS 1.0/1.1 adalah kurangnya dukungan untuk cipher modern (misalnya, ECDHE dan AEAD) dan adanya spesifikasi persyaratan untuk mendukung cipher lama, yang keandalannya dipertanyakan pada tahap saat ini. perkembangan teknologi komputasi (misalnya, dukungan untuk TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA diperlukan untuk memeriksa integritas dan otentikasi menggunakan MD5 dan SHA-1). Dukungan terhadap algoritma yang ketinggalan jaman telah menyebabkan serangan seperti ROBOT, DROWN, BEAST, Logjam dan FREAK. Namun, masalah ini tidak secara langsung dianggap sebagai kerentanan protokol dan diselesaikan pada tingkat implementasinya. Protokol TLS 1.0/1.1 sendiri tidak memiliki kerentanan kritis yang dapat dieksploitasi untuk melakukan serangan praktis.
Sumber: opennet.ru