GitHub нь NPM багцын репозитор болон NPM багц менежертэй холбоотой бүх сайтууд, түүний дотор npmjs.com дахь TLS 1.0 болон 1.1-ийн дэмжлэгийг зогсоохоор шийдсэн. 4-р сарын 1.2-нөөс эхлэн багцуудыг суулгах зэрэг репозитортой холбогдохын тулд хамгийн багадаа TLS 1.0-г дэмждэг үйлчлүүлэгч шаардлагатай болно. GitHub дээр TLS 1.1/2018-ийн дэмжлэгийг 99 оны 1.2-р сард зогсоосон. Үүний шалтгаан нь үйлчилгээнийхээ аюулгүй байдал, хэрэглэгчийн мэдээллийн нууцлалд санаа зовсон гэж мэдэгджээ. GitHub-ийн мэдээлснээр, NPM репозитор руу илгээсэн хүсэлтийн 1.3 орчим хувь нь TLS 1.2 эсвэл 2013-ыг ашиглан аль хэдийн хийгдсэн бөгөөд Node.js нь 0.10 оноос хойш (XNUMX хувилбараас хойш) TLS XNUMX-ийн дэмжлэгийг оруулсан тул өөрчлөлт нь зөвхөн багахан хэсэгт л нөлөөлнө. хэрэглэгчид.
TLS 1.0 ба 1.1 протоколуудыг IETF (Интернет инженерийн ажлын хэсэг) албан ёсоор хуучирсан технологи гэж ангилсныг сануулъя. TLS 1.0 тодорхойлолтыг 1999 оны 1.1-р сард нийтэлсэн. Долоон жилийн дараа TLS 1.0-ийн шинэчлэлтийг эхлүүлэх вектор болон дэвсгэр үүсгэхтэй холбоотой аюулгүй байдлын сайжруулалттайгаар гаргасан. TLS 1.1/3-ийн гол бэрхшээлүүдийн нэг бол орчин үеийн шифрүүдийг (жишээлбэл, ECDHE ба AEAD) дэмжихгүй байх, хуучин шифрүүдийг дэмжих шаардлага байгаа нь өнөөгийн шатанд найдвартай эсэх нь эргэлзээтэй байгаа явдал юм. тооцоолох технологийн хөгжил (жишээ нь TLS_DHE_DSS_WITH_5DES_EDE_CBC_SHA-ийн дэмжлэг нь MD1 ба SHA-1.0-ийн бүрэн бүтэн байдлыг шалгахад шаардлагатай бөгөөд баталгаажуулалтад ашигладаг). Хуучирсан алгоритмуудын дэмжлэг нь ROBOT, DROWN, BEAST, Logjam, FREAK гэх мэт халдлагад аль хэдийн хүргэсэн. Гэсэн хэдий ч эдгээр асуудлуудыг шууд протоколын сул тал гэж үзээгүй бөгөөд хэрэгжилтийн түвшинд шийдвэрлэгдсэн. TLS 1.1/XNUMX протоколууд нь өөрөө практик халдлага үйлдэхэд ашиглаж болох чухал сул талуудгүй байдаг.
Эх сурвалж: opennet.ru