GitHub hefur ákveðið að hætta stuðningi við TLS 1.0 og 1.1 í NPM pakkageymslunni og öllum síðum sem tengjast NPM pakkastjóranum, þar á meðal npmjs.com. Frá og með 4. október mun tenging við geymsluna, þar með talið uppsetningu pakka, þurfa biðlara sem styður að minnsta kosti TLS 1.2. Á GitHub sjálfum var stuðningi við TLS 1.0/1.1 hætt aftur í febrúar 2018. Ástæðan er sögð vera áhyggjur af öryggi þjónustu þess og trúnað um notendagögn. Samkvæmt GitHub eru um 99% beiðna til NPM geymslunnar þegar gerðar með TLS 1.2 eða 1.3 og Node.js hefur innifalið stuðning við TLS 1.2 síðan 2013 (frá útgáfu 0.10), þannig að breytingin mun aðeins hafa áhrif á lítinn hluta af notendur.
Við skulum muna að TLS 1.0 og 1.1 samskiptareglur hafa verið formlega flokkaðar sem úrelt tækni af IETF (Internet Engineering Task Force). TLS 1.0 forskriftin var gefin út í janúar 1999. Sjö árum síðar var TLS 1.1 uppfærslan gefin út með öryggisumbótum sem tengjast myndun frumstillingarvigra og fyllingar. Meðal helstu vandamála TLS 1.0/1.1 er skortur á stuðningi við nútíma dulmál (til dæmis ECDHE og AEAD) og tilvist í forskriftinni kröfu um að styðja gamla dulmál, en áreiðanleiki þeirra er efast um á núverandi stigi. þróun tölvutækni (til dæmis þarf stuðning fyrir TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA til að athuga heilleika og auðkenning notar MD5 og SHA-1). Stuðningur við gamaldags reiknirit hefur þegar leitt til árása eins og ROBOT, DROWN, BEAST, Logjam og FREAK. Hins vegar voru þessi vandamál ekki beint talin til veikleika í samskiptareglum og voru leyst á stigi útfærslu þeirra. TLS 1.0/1.1 samskiptareglurnar sjálfar skortir mikilvæga veikleika sem hægt er að nýta til að framkvæma hagnýtar árásir.
Heimild: opennet.ru