GitHub huet decidéiert d'Ënnerstëtzung fir TLS 1.0 an 1.1 am NPM Package Repository ze stoppen an all Site mat dem NPM Package Manager assoziéiert, dorënner npmjs.com. Vum 4. Oktober un, d'Verbindung mam Repository, och d'Installatioun vu Packagen, erfuerdert e Client deen op d'mannst TLS 1.2 ënnerstëtzt. Op GitHub selwer gouf d'Ënnerstëtzung fir TLS 1.0/1.1 am Februar 2018 gestoppt. D'Motiv soll d'Suergen ëm d'Sécherheet vu senge Servicer an d'Vertraulechkeet vun de Benotzerdaten sinn. Geméiss GitHub sinn ongeféier 99% vun Ufroen un den NPM Repository scho mat TLS 1.2 oder 1.3 gemaach, an Node.js huet Ënnerstëtzung fir TLS 1.2 zënter 2013 abegraff (zënter Verëffentlechung 0.10), sou datt d'Ännerung nëmmen e klengen Deel vun Benotzer.
Loosst eis drun erënneren datt d'TLS 1.0 an 1.1 Protokoller offiziell als obsolet Technologien vun der IETF (Internet Engineering Task Force) klasséiert goufen. D'TLS 1.0 Spezifizéierung gouf am Januar 1999 publizéiert. Siwe Joer méi spéit gouf den TLS 1.1 Update verëffentlecht mat Sécherheetsverbesserungen am Zesummenhang mat der Generatioun vun Initialisierungsvektoren a Padding. Ënnert den Haaptprobleemer vun TLS 1.0 / 1.1 ass de Mangel u Ënnerstëtzung fir modern Chifferen (zum Beispill ECDHE an AEAD) an d'Präsenz an der Spezifizéierung vun enger Fuerderung fir al Chifferen z'ënnerstëtzen, d'Zouverlässegkeet vun deenen an der aktueller Etapp a Fro gestallt gëtt. Entwécklung vun Rechenzäit Technologie (zum Beispill, Ënnerstëtzung fir TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA ass néideg der Integritéit an Authentifikatioun benotzt MD5 an SHA-1 ze kontrolléieren). Ënnerstëtzung fir verouderte Algorithmen huet schonn zu Attacke wéi ROBOT, DROWN, BEAST, Logjam a FREAK gefouert. Wéi och ëmmer, dës Probleemer goufen net direkt als Protokoll Schwachstelle ugesinn a goufen um Niveau vun hiren Implementatiounen geléist. D'TLS 1.0/1.1 Protokoller selwer feelen kritesch Schwachstelle, déi kënne exploitéiert ginn fir praktesch Attacken auszeféieren.
Source: opennet.ru