NPM 저장소는 TLS 1.0 및 1.1에 대한 지원을 중단합니다.

GitHub는 NPM 패키지 저장소와 npmjs.com을 포함하여 NPM 패키지 관리자와 관련된 모든 사이트에서 TLS 1.0 및 1.1에 대한 지원을 중단하기로 결정했습니다. 4월 1.2일부터 패키지 설치를 포함하여 저장소에 연결하려면 최소한 TLS 1.0를 지원하는 클라이언트가 필요합니다. GitHub 자체에서는 TLS 1.1/2018에 대한 지원이 99년 1.2월에 중단되었습니다. 그 동기는 서비스 보안과 사용자 데이터의 기밀성에 대한 우려 때문인 것으로 알려졌습니다. GitHub에 따르면 NPM 저장소에 대한 요청의 약 1.3%는 이미 TLS 1.2 또는 2013을 사용하여 이루어졌으며 Node.js에는 0.10년(릴리스 XNUMX부터)부터 TLS XNUMX에 대한 지원이 포함되었으므로 변경 사항은 일부에만 영향을 미칩니다. 사용자.

TLS 1.0 및 1.1 프로토콜은 IETF(Internet Engineering Task Force)에 의해 공식적으로 구식 기술로 분류되었음을 기억해 보십시오. TLS 1.0 사양은 1999년 1.1월에 발표되었습니다. 1.0년 후, 초기화 벡터 및 패딩 생성과 관련된 보안 개선 사항이 포함된 TLS 1.1 업데이트가 출시되었습니다. TLS 3/5의 주요 문제점 중 하나는 최신 암호(예: ECDHE 및 AEAD)에 대한 지원이 부족하고 사양에 기존 암호를 지원하라는 요구 사항이 있다는 점입니다. 현재 단계에서는 신뢰성이 의문시됩니다. 컴퓨팅 기술의 발전(예: 무결성을 확인하려면 TLS_DHE_DSS_WITH_1DES_EDE_CBC_SHA에 대한 지원이 필요하며 MD1.0 및 SHA-1.1을 사용하는 인증). 오래된 알고리즘에 대한 지원으로 인해 이미 ROBOT, DROWN, BEAST, Logjam 및 FREAK와 같은 공격이 발생했습니다. 그러나 이러한 문제는 프로토콜 취약점으로 직접 간주되지 않았으며 구현 수준에서 해결되었습니다. TLS XNUMX/XNUMX 프로토콜 자체에는 실제 공격을 수행하는 데 악용될 수 있는 심각한 취약점이 없습니다.

출처 : opennet.ru