GitHub ha deciso di interrompere il supporto per TLS 1.0 e 1.1 nel repository di pacchetti NPM e in tutti i siti associati al gestore di pacchetti NPM, incluso npmjs.com. A partire dal 4 ottobre, la connessione al repository, inclusa l'installazione dei pacchetti, richiederà un client che supporti almeno TLS 1.2. Su GitHub stesso, il supporto per TLS 1.0/1.1 è stato interrotto nel febbraio 2018. Si dice che il motivo sia la preoccupazione per la sicurezza dei suoi servizi e la riservatezza dei dati degli utenti. Secondo GitHub, circa il 99% delle richieste al repository NPM vengono già effettuate utilizzando TLS 1.2 o 1.3, e Node.js include il supporto per TLS 1.2 dal 2013 (dalla versione 0.10), quindi la modifica riguarderà solo una piccola parte di utenti.
Ricordiamo che i protocolli TLS 1.0 e 1.1 sono stati ufficialmente classificati come tecnologie obsolete dalla IETF (Internet Engineering Task Force). La specifica TLS 1.0 è stata pubblicata nel gennaio 1999. Sette anni dopo, è stato rilasciato l'aggiornamento TLS 1.1 con miglioramenti della sicurezza relativi alla generazione dei vettori di inizializzazione e del riempimento. Tra i principali problemi di TLS 1.0/1.1 c'è la mancanza di supporto per i cifrari moderni (ad esempio, ECDHE e AEAD) e la presenza nelle specifiche di un requisito per supportare i vecchi cifrari, la cui affidabilità è messa in dubbio allo stadio attuale di sviluppo della tecnologia informatica (ad esempio, il supporto per TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA è necessario per verificare l'integrità e l'autenticazione utilizza MD5 e SHA-1). Il supporto di algoritmi obsoleti ha già portato ad attacchi come ROBOT, DROWN, BEAST, Logjam e FREAK. Tuttavia, questi problemi non sono stati considerati direttamente come vulnerabilità del protocollo e sono stati risolti a livello delle sue implementazioni. Gli stessi protocolli TLS 1.0/1.1 non presentano vulnerabilità critiche che possono essere sfruttate per sferrare attacchi pratici.
Fonte: opennet.ru