GitHub NPM пакетинин репозиторийиндеги TLS 1.0 жана 1.1ди жана NPM пакетинин менеджери менен байланышкан бардык сайттарды, анын ичинде npmjs.comду колдоону токтотууну чечти. 4-октябрдан баштап репозиторийге туташуу, анын ичинде пакеттерди орнотуу үчүн эң аз дегенде TLS 1.2 колдогон кардар талап кылынат. GitHub өзүндө TLS 1.0/1.1ди колдоо 2018-жылдын февраль айында токтотулган. Мотив анын кызматтарынын коопсуздугу жана колдонуучулардын маалыматтарынын купуялуулугуна кам көрүү экени айтылууда. GitHub ылайык, NPM репозиторийине суроо-талаптардын болжол менен 99% мурунтан эле TLS 1.2 же 1.3 аркылуу жасалган жана Node.js 1.2-жылдан бери TLS 2013 колдоону камтыйт (0.10 релизинен бери), ошондуктан өзгөртүү аз гана бөлүгүнө таасир этет. колдонуучулар.
Эске салсак, TLS 1.0 жана 1.1 протоколдору IETF (Internet Engineering Task Force) тарабынан расмий түрдө эскирген технологиялар катары классификацияланган. TLS 1.0 спецификациясы 1999-жылдын январында жарыяланган. Жети жылдан кийин TLS 1.1 жаңыртуусу инициализация векторлорун жана толтургучтарды генерациялоого байланыштуу коопсуздукту жакшыртуу менен чыгарылды. TLS 1.0/1.1 негизги көйгөйлөрүнүн арасында заманбап шифрлерди колдоонун жоктугу (мисалы, ECDHE жана AEAD) жана спецификацияда эски шифрлерди колдоо талабынын болушу саналат, алардын ишенимдүүлүгү азыркы этапта шек жаратат. эсептөө технологиясын өнүктүрүү (мисалы, бүтүндүктү текшерүү үчүн TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA колдоосу талап кылынат жана MD5 жана SHA-1дин аутентификациясы колдонулат). Эскирген алгоритмдерди колдоо буга чейин эле ROBOT, DROWN, BEAST, Logjam жана FREAK сыяктуу чабуулдарга алып келген. Бирок, бул көйгөйлөр түздөн-түз протоколдук алсыздык катары эсептелген эмес жана аны ишке ашыруу деңгээлинде чечилген. TLS 1.0/1.1 протоколдорунун өзүндө практикалык чабуулдарды жасоо үчүн пайдаланылышы мүмкүн болгон олуттуу кемчиликтер жок.
Source: opennet.ru