GitHub mutusake kanggo mungkasi dhukungan kanggo TLS 1.0 lan 1.1 ing repositori paket NPM lan kabeh situs sing ana gandhengane karo manajer paket NPM, kalebu npmjs.com. Wiwit 4 Oktober, nyambungake menyang repositori, kalebu nginstal paket, mbutuhake klien sing ndhukung paling ora TLS 1.2. Ing GitHub dhewe, dhukungan kanggo TLS 1.0/1.1 dihentikan maneh ing Februari 2018. Motif kasebut diarani prihatin kanggo keamanan layanan lan rahasia data pangguna. Miturut GitHub, udakara 99% panjaluk menyang repositori NPM wis digawe nggunakake TLS 1.2 utawa 1.3, lan Node.js wis kalebu dhukungan kanggo TLS 1.2 wiwit 2013 (wiwit diluncurake 0.10), saengga owah-owahan mung bakal mengaruhi bagean cilik saka pangguna.
Elinga yen protokol TLS 1.0 lan 1.1 wis resmi diklasifikasikake minangka teknologi sing ora ana gunane dening IETF (Internet Engineering Task Force). Spesifikasi TLS 1.0 diterbitake ing Januari 1999. Pitung taun sabanjure, nganyari TLS 1.1 dirilis kanthi perbaikan keamanan sing ana gandhengane karo generasi vektor wiwitan lan padding. Antarane masalah utama TLS 1.0 / 1.1 yaiku kekurangan dhukungan kanggo cipher modern (contone, ECDHE lan AEAD) lan ana ing spesifikasi syarat kanggo ndhukung ciphers lawas, linuwih sing ditakoni ing tahap saiki. pangembangan teknologi komputasi (contone, dhukungan kanggo TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA dibutuhake kanggo mriksa integritas lan otentikasi nggunakake MD5 lan SHA-1). Dhukungan kanggo algoritma sing wis lawas wis nyebabake serangan kayata ROBOT, DROWN, BEAST, Logjam lan FREAK. Nanging, masalah kasebut ora langsung dianggep minangka kerentanan protokol lan dirampungake ing tingkat implementasine. Protokol TLS 1.0/1.1 dhewe ora duwe kerentanan kritis sing bisa dimanfaatake kanggo nindakake serangan praktis.
Source: opennet.ru