NPM ಪ್ಯಾಕೇಜ್ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ TLS 1.0 ಮತ್ತು 1.1 ಗೆ ಬೆಂಬಲವನ್ನು ನಿಲ್ಲಿಸಲು GitHub ನಿರ್ಧರಿಸಿದೆ ಮತ್ತು npmjs.com ಸೇರಿದಂತೆ NPM ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ಗೆ ಸಂಬಂಧಿಸಿದ ಎಲ್ಲಾ ಸೈಟ್ಗಳು. ಅಕ್ಟೋಬರ್ 4 ರಿಂದ, ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸುವುದು ಸೇರಿದಂತೆ ರೆಪೊಸಿಟರಿಗೆ ಸಂಪರ್ಕಿಸಲು ಕನಿಷ್ಠ TLS 1.2 ಅನ್ನು ಬೆಂಬಲಿಸುವ ಕ್ಲೈಂಟ್ ಅಗತ್ಯವಿರುತ್ತದೆ. GitHub ನಲ್ಲಿಯೇ, TLS 1.0/1.1 ಗೆ ಬೆಂಬಲವನ್ನು ಫೆಬ್ರವರಿ 2018 ರಲ್ಲಿ ನಿಲ್ಲಿಸಲಾಯಿತು. ಉದ್ದೇಶವು ಅದರ ಸೇವೆಗಳ ಸುರಕ್ಷತೆ ಮತ್ತು ಬಳಕೆದಾರರ ಡೇಟಾದ ಗೌಪ್ಯತೆಗೆ ಕಾಳಜಿ ಎಂದು ಹೇಳಲಾಗುತ್ತದೆ. GitHub ಪ್ರಕಾರ, NPM ರೆಪೊಸಿಟರಿಯ ಸುಮಾರು 99% ವಿನಂತಿಗಳನ್ನು ಈಗಾಗಲೇ TLS 1.2 ಅಥವಾ 1.3 ಬಳಸಿ ಮಾಡಲಾಗಿದೆ, ಮತ್ತು Node.js 1.2 ರಿಂದ TLS 2013 ಗೆ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಿದೆ (0.10 ಬಿಡುಗಡೆಯಿಂದ), ಆದ್ದರಿಂದ ಬದಲಾವಣೆಯು ಕೇವಲ ಒಂದು ಸಣ್ಣ ಭಾಗವನ್ನು ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಬಳಕೆದಾರರು.
TLS 1.0 ಮತ್ತು 1.1 ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು IETF (ಇಂಟರ್ನೆಟ್ ಇಂಜಿನಿಯರಿಂಗ್ ಟಾಸ್ಕ್ ಫೋರ್ಸ್) ಅಧಿಕೃತವಾಗಿ ಬಳಕೆಯಲ್ಲಿಲ್ಲದ ತಂತ್ರಜ್ಞಾನಗಳೆಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ ಎಂದು ನಾವು ನೆನಪಿಸಿಕೊಳ್ಳೋಣ. TLS 1.0 ವಿವರಣೆಯನ್ನು ಜನವರಿ 1999 ರಲ್ಲಿ ಪ್ರಕಟಿಸಲಾಯಿತು. ಏಳು ವರ್ಷಗಳ ನಂತರ, ಪ್ರಾರಂಭಿಕ ವೆಕ್ಟರ್ಗಳು ಮತ್ತು ಪ್ಯಾಡಿಂಗ್ಗಳ ಉತ್ಪಾದನೆಗೆ ಸಂಬಂಧಿಸಿದ ಭದ್ರತಾ ಸುಧಾರಣೆಗಳೊಂದಿಗೆ TLS 1.1 ನವೀಕರಣವನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು. TLS 1.0/1.1 ರ ಮುಖ್ಯ ಸಮಸ್ಯೆಗಳಲ್ಲಿ ಆಧುನಿಕ ಸೈಫರ್ಗಳಿಗೆ ಬೆಂಬಲದ ಕೊರತೆ (ಉದಾಹರಣೆಗೆ, ECDHE ಮತ್ತು AEAD) ಮತ್ತು ಹಳೆಯ ಸೈಫರ್ಗಳನ್ನು ಬೆಂಬಲಿಸುವ ಅವಶ್ಯಕತೆಯ ನಿರ್ದಿಷ್ಟತೆಯ ಉಪಸ್ಥಿತಿ, ಪ್ರಸ್ತುತ ಹಂತದಲ್ಲಿ ಅದರ ವಿಶ್ವಾಸಾರ್ಹತೆಯನ್ನು ಪ್ರಶ್ನಿಸಲಾಗಿದೆ. ಕಂಪ್ಯೂಟಿಂಗ್ ತಂತ್ರಜ್ಞಾನದ ಅಭಿವೃದ್ಧಿ (ಉದಾಹರಣೆಗೆ, ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ಗೆ ಬೆಂಬಲದ ಅಗತ್ಯವಿದೆ ಮತ್ತು ದೃಢೀಕರಣವು MD5 ಮತ್ತು SHA-1 ಅನ್ನು ಬಳಸುತ್ತದೆ). ಹಳತಾದ ಅಲ್ಗಾರಿದಮ್ಗಳಿಗೆ ಬೆಂಬಲವು ಈಗಾಗಲೇ ROBOT, DROWN, BEAST, Logjam ಮತ್ತು FREAK ನಂತಹ ದಾಳಿಗಳಿಗೆ ಕಾರಣವಾಗಿದೆ. ಆದಾಗ್ಯೂ, ಈ ಸಮಸ್ಯೆಗಳನ್ನು ನೇರವಾಗಿ ಪ್ರೋಟೋಕಾಲ್ ದೋಷಗಳನ್ನು ಪರಿಗಣಿಸಲಾಗಿಲ್ಲ ಮತ್ತು ಅದರ ಅನುಷ್ಠಾನಗಳ ಮಟ್ಟದಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ. TLS 1.0/1.1 ಪ್ರೋಟೋಕಾಲ್ಗಳು ಪ್ರಾಯೋಗಿಕ ದಾಳಿಗಳನ್ನು ನಡೆಸಲು ಬಳಸಿಕೊಳ್ಳಬಹುದಾದ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ.
ಮೂಲ: opennet.ru