„GitHub“ nusprendė nutraukti TLS 1.0 ir 1.1 palaikymą NPM paketų saugykloje ir visose su NPM paketų tvarkytuvu susijusiose svetainėse, įskaitant npmjs.com. Nuo spalio 4 d. norint prisijungti prie saugyklos, įskaitant paketų diegimą, reikės kliento, kuris palaiko bent TLS 1.2. Pačiame „GitHub“ TLS 1.0 / 1.1 palaikymas buvo nutrauktas 2018 m. vasario mėn. Teigiama, kad motyvas – susirūpinimas jos paslaugų saugumu ir vartotojų duomenų konfidencialumu. „GitHub“ duomenimis, apie 99 % užklausų į NPM saugyklą jau pateikiamos naudojant TLS 1.2 arba 1.3, o „Node.js“ įtraukė TLS 1.2 palaikymą nuo 2013 m. (nuo 0.10 išleidimo), todėl pakeitimas paveiks tik nedidelę dalį vartotojų.
Prisiminkime, kad TLS 1.0 ir 1.1 protokolus IETF (Internet Engineering Task Force) oficialiai priskyrė pasenusioms technologijoms. TLS 1.0 specifikacija buvo paskelbta 1999 m. sausio mėn. Po septynerių metų buvo išleistas TLS 1.1 naujinimas su saugumo patobulinimais, susijusiais su inicijavimo vektorių generavimu ir užpildymu. Viena iš pagrindinių TLS 1.0/1.1 problemų yra šiuolaikinių šifrų (pavyzdžiui, ECDHE ir AEAD) palaikymo trūkumas ir reikalavimo palaikyti senus šifrus, kurių patikimumas šiuo metu kelia abejonių, buvimas specifikacijoje. skaičiavimo technologijos kūrimas (pavyzdžiui, norint patikrinti vientisumą reikalingas TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA palaikymas, o autentifikavimas naudoja MD5 ir SHA-1). Pasenusių algoritmų palaikymas jau paskatino tokias atakas kaip ROBOT, DROWN, BEAST, Logjam ir FREAK. Tačiau šios problemos nebuvo tiesiogiai laikomos protokolo pažeidžiamumu ir buvo išspręstos jo diegimo lygiu. Pačiuose TLS 1.0/1.1 protokoluose trūksta kritinių spragų, kurias būtų galima išnaudoti atliekant praktines atakas.
Šaltinis: opennet.ru