GitHub は、NPM パッケージ リポジトリと、npmjs.com を含む NPM パッケージ マネージャーに関連するすべてのサイトにおける TLS 1.0 および 1.1 のサポートを中止することを決定しました。 4 月 1.2 日以降、パッケージのインストールを含むリポジトリへの接続には、少なくとも TLS 1.0 をサポートするクライアントが必要になります。 GitHub 自体では、TLS 1.1/2018 のサポートが 99 年 1.2 月に廃止されました。 その動機は、サービスのセキュリティとユーザーデータの機密性への懸念であると言われています。 GitHub によると、NPM リポジトリへのリクエストの約 1.3% はすでに TLS 1.2 または 2013 を使用して行われており、Node.js には 0.10 年 (リリース XNUMX 以降) から TLS XNUMX のサポートが含まれているため、この変更は一部のリクエストにのみ影響します。ユーザー。
TLS 1.0 および 1.1 プロトコルは、IETF (Internet Engineering Task Force) によって公式に廃止されたテクノロジとして分類されたことを思い出してください。 TLS 1.0 仕様は 1999 年 1.1 月に発行されました。 1.0 年後、初期化ベクトルとパディングの生成に関連するセキュリティが強化された TLS 1.1 アップデートがリリースされました。 TLS 3/5 の主な問題の 1 つは、最新の暗号 (ECDHE や AEAD など) がサポートされていないことと、古い暗号をサポートする要件が仕様に存在することであり、その信頼性は現段階では疑問視されています。コンピューティング技術の開発 (たとえば、MD1.0 と SHA-1.1 を使用する整合性と認証をチェックするには、TLS_DHE_DSS_WITH_XNUMXDES_EDE_CBC_SHA のサポートが必要です)。 古いアルゴリズムのサポートは、すでに ROBOT、DROWN、BEAST、Logjam、FREAK などの攻撃につながっています。 ただし、これらの問題はプロトコルの脆弱性とは直接的にはみなされず、実装レベルで解決されました。 TLS XNUMX/XNUMX プロトコル自体には、実際の攻撃に悪用される可能性がある重大な脆弱性がありません。
出所: オープンネット.ru