GitHub ir nolēmis pārtraukt TLS 1.0 un 1.1 atbalstu NPM pakotņu krātuvē un visās ar NPM pakotņu pārvaldnieku saistītajās vietnēs, tostarp vietnē npmjs.com. Sākot ar 4. oktobri, lai izveidotu savienojumu ar repozitoriju, tostarp instalētu pakotnes, būs nepieciešams klients, kas atbalsta vismaz TLS 1.2. Pašā GitHub versijā TLS 1.0/1.1 atbalsts tika pārtraukts 2018. gada februārī. Tiek apgalvots, ka motīvs ir bažas par tā pakalpojumu drošību un lietotāju datu konfidencialitāti. Saskaņā ar GitHub datiem aptuveni 99% pieprasījumu NPM krātuvei jau tiek veikti, izmantojot TLS 1.2 vai 1.3, un Node.js ir iekļāvis TLS 1.2 atbalstu kopš 2013. gada (kopš izlaišanas 0.10), tāpēc izmaiņas ietekmēs tikai nelielu daļu lietotājiem.
Atgādināsim, ka IETF (Internet Engineering Task Force) TLS 1.0 un 1.1 protokolus oficiāli klasificējis kā novecojušas tehnoloģijas. TLS 1.0 specifikācija tika publicēta 1999. gada janvārī. Septiņus gadus vēlāk tika izlaists TLS 1.1 atjauninājums ar drošības uzlabojumiem, kas saistīti ar inicializācijas vektoru un polsterējuma ģenerēšanu. Viena no galvenajām TLS 1.0/1.1 problēmām ir mūsdienu šifru (piemēram, ECDHE un AEAD) atbalsta trūkums un prasības klātbūtne specifikācijā atbalstīt vecos šifrus, kuru uzticamība tiek apšaubīta pašreizējā šifrēšanas stadijā. skaitļošanas tehnoloģiju attīstība (piemēram, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA atbalsts ir nepieciešams, lai pārbaudītu integritāti, un autentifikācija izmanto MD5 un SHA-1). Atbalsts novecojušiem algoritmiem jau ir izraisījis tādus uzbrukumus kā ROBOT, DROWN, BEAST, Logjam un FREAK. Tomēr šīs problēmas netika tieši uzskatītas par protokola ievainojamībām un tika atrisinātas tā ieviešanas līmenī. Pašiem TLS 1.0/1.1 protokoliem trūkst kritisku ievainojamību, ko varētu izmantot praktisku uzbrukumu veikšanai.
Avots: opennet.ru